HP Inc heeft een update gepubliceerd dat 225 printers moet beveiligen tegen malafide aanvallen. De Ink Patch dicht twee lekken die misbruik maken van een static buffer overflow. Het nieuws volgt net nadat HP hackers uitnodigt om zijn printers te testen.
HP lanceert een nieuwe firmware patch onder de noemer Ink Patch en dicht twee lekken: CVE-2018-5925 en CVE-2018-5924. De patch is bestemd voor heel wat printers, meer dan 225 in totaal. Het gaat om de toestellen uit verschillende reeksen waaronder Pagewide, DesignJet, OfficeJet, Deskjet en HP Envy.
225 printers
De twee lekken maken het mogelijk om een malafide printopdracht naar het toestel te sturen dat een stack of static buffer overflow activeert. Wanneer dat lukt, krijgen hackers de mogelijkheid om malafide code uit te voeren op geïnfecteerde printers.
Lees dit: Veiligheid in printers is even belangrijk als in laptops
Dit is waarschijnlijk nog maar de eerste patch in een reeks die HP binnenkort zal publiceren. Het lanceerde namelijk eerder vorige week nog een nieuwe programma waarbij hackers geld kunnen verdienen wanneer ze onregelmatigheden ontdekken. Afhankelijk van het type gevaar reikt HP tot 10.000 dollar uit.
Uitbetalingen
Het doel is uiteindelijk om HP-printers te beschermen tegen een groeiend aantal botnets en malware-pakketten. Die viseren printers en andere internet geconnecteerde toestellen. Traditioneel krijgen zulke apparaten weinig tot geen veiligheidsupdates, maar duidelijk niet bij HP-printers.
Shivaun Albright, HP Print Security Chief Technologist vertelt aan The Register: “HP maakt er een prioriteit van om de meest veilige printers ter wereld te maken. Terwijl we doorheen een steeds complexere wereld van cyberrisico’s navigeren, is het belangrijk dat industrieleiders elk mogelijk middel gebruiken om veilige, stevige security af te leveren startend vanaf de firmware.”
HP zei verder nog dat hackers die een onveiligheid vinden die HP toevallig ook al had ontdekt maar nog niet heeft gepatcht, toch een good faith-uitbetaling krijgen.