Mit dem Vergleich ist nun auhch der Weg frei für die HP-Bürodrucker mit der PageWide-Technologie. Mit ihnen verspricht HP Bürodrucker mit Tintentechnologie aber Laser-Eigenschaften (Bild: HP Inc.)
Forscher von F-Secure haben mehrere Schwachstellen entdeckt, die in Multifunktionsdruckern von HP stecken. Betroffen sind vor allem die Modellreihen HP Color LaserJet Enterprise, HP Color LaserJet Managed, HP LaserJet Enterprise und HP LaserJet Managed. Betroffene Nutzer sollten prüfen, ob eine neue Firmware für ihre Geräte verfügbar ist.
Für die Anfälligkeiten mit den Kennungen CVE-2021-39237 und CVE-2021-39238 stehen bereits seit Anfang November Firmwareupdates zur Verfügung. Die erste Lücke erlaubt Unbefugten einen vollständigen Zugriff auf ein Geräte, allerdings wird dafür ein physischer Zugang zu einem ungepatchten Multifunktionsdrucker benötigt.
Der zweite Bug löst einen Pufferüberlauf bei der Verarbeitung speziell gestalteter Schriftzeichen aus. Darüber ist laut HP das Einschleusen und ausführen von Schadcode möglich. Das Unternehmen bewertet die Sicherheitslücke mit 9,3 Punkten um zehnstufigen Common Vulnerability Scoring System.
HP weist in seiner Sicherheitsmeldung auch darauf hin, dass CVE-2021-39238 “wurmfähig” ist: Ein Angreifer kann unter Umständen von einem einzelnen Drucker aus auf das gesamte Netzwerk zugreifen.
Wie BleepingComputer berichtet, wurde HP bereits Ende April von F-Secure über die Sicherheitslücken informiert. Der Druckerhersteller habe dann herausgefunden, dass nicht nur der von den Forscher benutzte Drucker HP M725z anfällig ist, sondern zahlreiche weitere Durckermodelle.
F-Secure wiederum weist darauf hin, dass die neue Firmware ab Werk das Drucken über USB-Speichermedien deaktiviert – was eine Möglichkeit war, eine der beiden Schwachstellen auszunutzen. Den Forscher zufolge kann aber auch ein speziell gestaltetes PDF-Dokument benutzt werden, um den Bug in der Verarbeitung von Schriftzeichen auszunutzen. Ein Angriff sei aber auch möglich, indem ein speziell gestalteter Druckauftrag per HTTP POST an den JetDirect-Port TCP9100 geschickt wird. Die F-Secure-Forscher betonten aber auch, dass ihnen keine aktiven Angriffe auf die beiden Schwachstellen bekannt seien.
Drei Bausteine bilden die Grundlage für eine KI-Governance: Dokumentation von KI-Projekten, Model Evaluation und Monitoring…
Eine Harmonisierung der Vorschriften für RIDP-Prozesse wird dazu beitragen, Angriffe künftig besser abwehren zu können,…
Die Übernahme der Metaal Kennis Groep soll den Zugang zur Metallindustrie verbessern. Im Fokus stehen…
EY hat Mitarbeitende in neun europäischen Ländern dazu befragt, wie stark KI ihren Arbeitsalltag verändert.
Kann die Privatwirtschaft mit DePINs – dezentralen, physischen Infrastrukturnetzwerken – erreichen, was Gaia-X bislang vergeblich…
Analyse zur Anfälligkeit von MFA auf Basis von 15.000 Push-basierten Angriffen. Größte Schwachstelle ist die…