In der Firmware diverser HP-Drucker gibt es wohl Sicherheitslücken, die eine Remote Code Execution ermöglichen. HP bereitet angeblich ein Firmware-Update vor, welches wohl diese Woche erscheinen soll. Nachtrag: Ein Update ist inzwischen von HP bereitgestellt worden.
Anzeige
Sicherheitslücken in HP-Druckern
Es geht laut The Register wohl um die HP-Druckermodelle MFP-586 und M553, die eine Remote Code Execution-Schwachstelle aufweisen. Sicherheitsforscher von foxglovesecurity.com hatten diverse Bugs und Sicherheitslücken in der Firmware dieser Druckermodelle aufgedeckt und HP informiert.
Die Probleme sind in diesem englischsprachigen Dokument beschrieben. Damit ließen sich über PIN-Codes geschützte Druckaufträge manipulieren oder die Geräte auf den Werksauslieferungszustand zurücksetzen. Wenn die Informationen von The Register stimmen, sollten diese Woche noch Firmware-Updates für die betreffenden Druckermodelle erscheinen, die die Sicherheitslücken schließen.
HP-Security Bulletin und Firmware-Update
Ergänzung: Die Firma HP hat das Security Bulletin c05839270, datiert vom 17. November 2017, veröffentlicht. Dieses enthält eine Beschreibung der Schwachstelle CVE-2017-2750, PSR-2017-0141. Im Dokument werden alle HP-Office-Printer aufgelistet, die angreifbar sind und für die ein Firmware-Update bereitsteht.
Anzeige
Um die Firmware herunterzuladen, muss die HP-Webseite in einem Browser aufgerufen und dann die Kategorie Support angewählt werden. Im Suchfeld ist der Produktname einzutragen und die Suche anzustoßen. Dann sollte die Firmware in der Kategorieliste auftauchen und anwählbar sein.
Anmerkung: Ob dann mit dem Update die Verwendung von Fremd-Kartuschen geblockt wird, kann ich nicht beurteilen. Beim Besuch der HP-Seite wurde mir überraschend die Verwendung eines Samsung-Assistenten angeboten. Ich habe erst einmal gestaunt. Dann bin ich auf diesen Forenbeitrag gestoßen, der alles erklärt. HP hat die Druckersparte von Samsung übernommen. Im Forenpost findet sich der Hinweis, dass diese Drucker nur noch funktionieren, wenn eine Verbindung zum Internet und damit zu den Herstellern existiere. Schöne neue Welt …
Anzeige
Tja, denen glaubt man nun gar nichts mehr, noch nicht mal das Gegenteil. ;-)