HP-Drucker: Warnung vor kritischer Schwachstelle (Sept. 2022)

[English]Der Hersteller HP hat am 21. September 2022 eine Warnung vor einer Buffer Overflow-Schwachstelle in der Firmware diverser Druckermodelle (Inkjet-, Laserjet Pro- und HP PageWide Pro-Drucker) veröffentlicht. Eine Schwachstelle ermöglicht sogar potentiell eine Remote Code Execution (RCE). Inzwischen stehen Firmware-Updates für die betroffenen Druckermodelle zur Verfügung. Zudem hat HP wohl einen HP Smart Universal Print Driver v4 veröffentlicht.

Schwachstelle in HP-Druckern

In diversen HP-Druckern gibt es zwei gravierende Schwachstellen, wie HP im Sicherheitshinweis ish_6839789-6839813-16 vom 21. September 2022 mitteilt – ich bin durch folgenden Tweet darauf aufmerksam geworden.

Bestimmte HP Druckprodukte sind potenziell anfällig für einen Pufferüberlauf und/oder die Ausführung von Remotecode. Es betrifft die folgenden Schwachstellen:

• CVE-2022-28721: CVSS 9.8, Risiko: kritisch
• CVE-2022-28722: CVSS 7.1, Risiko: hoch

Details zu den beiden Schwachstellen gibt HP keine bekannt. HP hat inzwischen Firmware-Updates zum Beseitigen der Schwachstellen für die betroffenen Geräte veröffentlicht. Um die aktualisierte Firmware zu erhalten, ist die HP-Seite für Software- und Treiber-Downloads aufzurufen. Dann lässt sich durch Eingabe des Druckermodells nach dem Firmware-Update suchen.

Betroffen sind laut HP verschiedene Tintenstrahl-Drucker (HP DeskJet), Laserjet Pro-Printer und HP PageWide Pro-Printer. Details sind dem Sicherheitshinweis zu entnehmen (die Seite braucht recht lange zum Laden).

HP Smart Universal Print Driver v4

Weil es gerade passt – auf administrator.de bin ich auf den Hinweis gestoßen, dass HP den v4 Universal-Treiber für Drucker herausgebracht haben soll. Der Treiber ist auf dieser Seite aber noch nicht verfügbar.