InkJet vairumtirdzniecības emuārs
HP piedāvāja 100 000 ASV dolāru naudas balvu pētniekiem, kuri tikai pirms dažām dienām varēja atrast ievainojamību savos printeru produktos, un šķiet, ka viņu uzmanību piesaistīja divi īpaši pārskati, jo uzņēmums ir izlaidis programmaparatūras atjauninājumus divām kritiskām kļūdām. HP brīdina, ka simtiem tā tintes printeru ir neaizsargāti pret diviem attālās koda izpildes ievainojamībām. Lietotājiem nekavējoties jāatjaunina programmaparatūra, lai mazinātu šo nopietno pakāpju ievainojamību sekas.
Saskaņā ar HP Support Communication Security Bulettin teikto, ļaunprātīgi izstrādāts fails, kas nosūtīts attiecīgajiem HP printeriem, var izraisīt kaudzes vai statiskas bufera pārpildi, kas varētu pavērt ceļu attālajai koda izpildei. Šīm ievainojamībām piešķirtās drošības etiķetes ir CVE-2018-5924 un CVE-2018-5925 . Abas ievainojamības ir saņēmušas kritiskos CVSS 3.0 bāzes rādītājus 9,8 katrā.
HP lepojas ar to, ka ir vienīgais uzņēmums, kas izsniedz tik lielus apbalvojumus par ievainojamību atklāšanu savā printeru līnijā. Pēc incidenta ziņojuma (tomēr un vienmēr, kad tas varētu būt bijis), HP komanda cītīgi strādāja, lai izlaistu atjauninājumus, lai mazinātu radītos riskus. HP vadītāji ir izlaiduši lepnuma paziņojumus par savas komandas centieniem un viņu uzņēmuma sasniegumiem.
Nav skaidrs, vai par šīm ievainojamībām tika ziņots, izmantojot programmu, vai HP par tām zināja pirms rokas. Tomēr laiks tikai liek domāt, it kā tas būtu veltes medību rezultāts. Neatkarīgi no tā, HP ir palicis pats par sevi pasludināto “visdrošāko drukāšanas pakalpojumu sniedzēju”, izlaižot ielāpus krietni pirms zināmo ievainojamību izmantošanas.
HP apakšdaļā ir publicēts 166 ietekmēto personālajam lietojumam un ar uzņēmumu tīklu saistīto printeru veidu un modeļu saraksts drošības biļetenu izlaišana . Šie modeļi ietver plašu OfficeJet, DeskJet, Envy printeru, DesignJet un PageWide Pro ierīču klāstu. Blakus modeļu numuriem ir norādīti arī saistītie programmaparatūras atjauninājumi. HP printeru īpašniekiem tiek lūgts nekavējoties atjaunināt savu programmaparatūru, lai neriskētu ar divu attālās koda izpildes ievainojamību sekām.
