企業用戶使用的54款HP(Hewlett-Packard)打印機被發現有重大的保安漏洞,可被安裝遠端程式碼。HP目前已推出韌體升級檔案,官方呼籲企業用戶盡快更新打印機韌體。
今次涉及多種類的HP商用打印機,包括「LaserJet」、「PageWide」、「LaserJet Managed」、「OfficeJet」各系列打印機。在打印機的韌體當中,會出現 Solution DLL 簽章驗證問題,令到任意程式碼可透過遠端執行。今次的漏洞名為CVE-2017-2750,危險度分類系統CVSS中有8.1(最高10.0),屬於高度危險類別。
這次漏洞被 NTT Security 的 Stephen Breen 發現。透過這些漏洞,打印機所打印的內容有可能會被竊取,另一方面可在打印機執行遠端程式碼,並使之網路上潛伏。
HP 現時已為各打印機製作好修補程式,可經由官方網站下載。HP 呼籲用戶盡快更新打印機韌體。
HP保安通告HPSBPI03569網址: https://support.hp.com/hk-zh/document/c05839270
資料來源: FoxGlove Security, HP