Lexmark Multifunktionsgeräte: Sicherheitsupdate für Fax gesucht

In den Multifunktionsgeräten des Herstellers Lexmark gibt es Sicherheitslücken in der Fax-Funktion. Der Hersteller hat eine Sicherheitswarnung herausgegeben und bietet angeblich Firmware-Updates für verschiedene Geräte an. Erste Rückmeldungen von Nutzern besagen, dass es keine Updates gibt.

Die Information habe ich vor einigen Stunden bei heise.de gesehen, obwohl die Schwachstellen bereits seit August bekannt sind. Denn im Lexmark Security Advisory: Lexmark Buffer Overflow Vulnerability beschreibt der Hersteller bereits am 24. August 2018 eine Schwachstelle in der Color-Fax-Funktion seiner Multifunktionsgeräte. Lexmark hat eine Pufferüberlaufschwachstelle in einigen Modellen von Multifunktionsgeräten identifiziert, die Farbfaxaufträge verarbeiten.

• CVE-2018-1551919: Diese kritische Schwachstelle ermöglicht es einem Angreifer mit einer präparierten Fax-Nachricht ein Lexmark Multifunktionsgerät anzugreifen. Die Schwachstelle ermöglicht es einem entfernten Angreifer, beliebigen Code über das Gerät auszuführen.
• CVE-2018-15520: Diese als hoch eingestufte Schwachstelle ermöglicht es einem Angreifer mit einer präparierten Fax-Nachricht ein Lexmark Multifunktionsgerät anzugreifen. Diese Schwachstelle ermöglicht es einem entfernten Angreifer, das Gerät zum Absturz zu bringen, wodurch eine Denial-of-Service Bedingung geschaffen wird. Möglicherweise lassen sich andere Auswirkungen auf der Fax-Funktion beeinflussen.

Bei beiden Schwachstellen besteht die Gefahr solange, bis die eingetroffenen Fax-Daten vom Gerät gelöscht werden (Hinweise zum Löschen einer Fax-Nachricht sollte das Lexmark Support-Center für das betreffende Geräts geben können).

Inzwischen hat Lexmark auf dieser Webseite eine Liste betroffener Gerät veröffentlicht. Ob ein Firmware-Update für das Gerät bereitsteht, kann der Lexmark-Support beantworten. Ein Workaround besteht in der Deaktivierung der Farb-Fax-Funktion "Enable Color Fax Receive" auf den betreffenden Multifunktionsgeräten.