[English]In der Lexmark-Firmware diverser Drucker dieses Herstellers gibt es eine kritische Sicherheitslücke. Das geht aus einem Sicherheitshinweis von Lexmark vom 10. März 2023 hervor. Davon sind hunderte an Druckermodellen betroffen, darunter Lexmark MC3224, Lexmark B2338, Lexmark CX930 und Lexmark XC9335.
Anzeige
Ich bin über diverse Meldungen in Medien wie nachfolgenden Tweet von ghacks.net auf dieses Sicherheitsthema aufmerksam geworden. In der Firmware diverser Lexmark-Drucker gibt es kritische Schwachstellen, die der Hersteller in Sicherheitshinweise dokumentiert.
Eine der Schwachstellen wird als kritisch angesehen, da sie bei einer erfolgreichen Ausnutzung zu einer Remotecodeausführung auf einem Gerät führen kann. Hunderte von Druckern, darunter Lexmark MC3224, Lexmark B2338, Lexmark CX930 und Lexmark XC9335, sind betroffen. ghacks.net hat die nachfolgende Liste der CVEs mit Links zu den jeweiligen Lexmark-Seiten in diesem Artikel zusammen gefasst.
- CVE-2023-26063 — A vulnerability has been identified in the Postscript interpreter in various Lexmark devices.
- CVE-2023-26064 — A vulnerability has been identified in the Postscript interpreter in various Lexmark devices.
- CVE-2023-26065 — A vulnerability has been identified in the Postscript interpreter in various Lexmark devices.
- CVE-2023-26066 — A vulnerability has been identified in the Postscript interpreter in various Lexmark devices.
- CVE-2023-26067 — This input validation vulnerability allows an attacker who has already compromised an affected Lexmark device to escalate privileges.
- CVE-2023-26068 — The embedded web server in newer Lexmark devices fails to properly sanitize input data which can lead to remote code execution on the device.
- CVE-2023-26069 — An input validation vulnerability has been identified in the web API of newer Lexmark devices.
Für die betroffenen Geräte sind Firmware-Updates verfügbar. Allgemeine Hinweise zum Firmware-Update gibt es auf dieser Hersteller-Supportseite. Lexmark gibt an, dass bisher keine Ausnutzung in freier Wildbahn bekannt sei. In 2023 sind mir aus Januar bereits Sicherheitswarnungen zu Lexmark-Druckern untergekommen.
Anzeige
Anzeige
Im Netz bin ich auf Infos gestossen, dass wohl einige Nutzer bemängeln, nach dem FW-Update wurden die Tonerkartuschen als leer erkannt. Teurer Spass bei Farblasern.
Erfahrung hier: keine Probleme / 2x MX317dn & 1x MC3326adwe.
War das nicht auch schon mal bei HP-Druckern so, dass nach Firmwareupdates Toner- oder Tintenpatronen als leer angezeigt oder ganz abgelehnt wurden?
Da steckt doch nicht nur die Sicherheit hinter Firmwareupdates. Irgend eine fiese Sache ist öfter mal dabei.
Zumind. wohl bei Drittanbieter-Tintenpatronen – hier Artikel auch von heute >> https://www.borncity.com/blog/2023/03/14/hp-drucker-firmware-update-sperrt-erneut-drittanbieter-tintenpatronen-2023/ 😉
Moin,
da hatte ich letztes Jahr Probleme mit original Lexmark Patronen (in Kommentaren):
https://www.borncity.com/blog/2022/02/12/weitere-lexmark-schwachstellen-nachlese-zur-drucker-schwachstelle-feb-2022/
Wurden als nicht orginale angezeigt und leer :(
Damals konnten wir alles über den Support zügig austauchen.
Ist aber trotzdem Mist sowas…
MfG,
Blackii
Ich möchte nicht wissen, was für ebenso eklatante Sicherheitslücken bei den Modellen aller anderen Hersteller tatsächlich vorhanden sind – manchmal ist's wohl auch besser, dass man nicht "alles" weiß.
Reichlich. Wir haben neben Lexmark auch Xerox Geräte im Einsatz und da ist es das gleiche Spiel. Es muss immer wieder gepatched werden.
Heute 15 Lexmark Drucker (M1145 & M5155) mit der neusten Firmware (Patch 235 am Ende) versehen. Installation erfolgte über das Device Deployment Utility und es gab keine Probleme. Insbesondere wurden nach dem Update noch alle Toner erkannt und auch nicht als leer angezeigt.
Findet sich noch ein Hersteller bei dem man relativ 'sicher' sein kann, dass Drittanbieter-Toner funktioniert?
Auf winfuture.de und druckerchannel.de ist zu lesen, dass nach dem Update Drittanbieter-Toner (eventuell) nicht mehr funktioniert.
Bis jetzt haben wir kein Problem mit dem Toner unseres Lieferanten, jedoch schreibt der auch von Refill-Toner. Es sollte sich um originalen Toner handeln, vermutlich, garantiert aber keiner.
Mit solchen Update-Mitbringseln haben wir deshalb ein grundsätzliches Problem und berücksichtigen das bei der nächsten Geräte-Beschaffung. Lexmark könnte das selbe Schicksal ereilen wie bereits HP. Brother haben wir hier auch und soweit gute Erfahrungen, aber wie ist das dort mit Toner von Drittanbietern?