編輯:左右裡
3月21日,惠普釋出了兩個安全公告,稱旗下某些列印產品和數字傳送產品中存在高危安全漏洞,這些漏洞由趨勢科技的Zero Day Initiative團隊報告,LaserJet Pro、Pagewide Pro、OfficeJet、Enterprise、Large Format 和 DeskJet 等數百種印表機型號受到影響。
第一份安全公告通告的是一個緩衝區溢位漏洞(CVE-2022-3942,CVSS評分8.4),該漏洞導致某些惠普列印產品和數字傳送產品面臨使用鏈路本地多播名稱解析(LLMNR) 時潛在的遠端程式碼執行和緩衝區溢位的風險。
惠普已釋出適用於大多數受影響產品的韌體安全更新。對於部分沒有修補程式的型號,惠普提供的緩解措施主要是在網路設定中禁用 LLMNR(鏈路本地多播名稱解析)。
具體步驟參照:
https://support.hp.com/us-en/document/ish_5887902-5883859-16
或:
https://support.hp.com/us-en/document/ish_5867854-5867907-16
第二份安全公告通告了三個漏洞,型別分別是資訊洩露、拒絕服務、緩衝區溢位,為其分配的CVE ID為CVE-2022-24292(CVSS評分9.8)、 CVE-2022-24293(CVSS評分9.8))和CVE-2022-24291(CVE評分7.5)。
這些漏洞導致某些惠普列印裝置可能容易受到潛在的資訊洩露、拒絕服務和遠端程式碼執行的影響。
惠普已通過為受影響的型號釋出印表機韌體安全更新解決了此問題。受影響的使用者可以訪問惠普的官方軟體和驅動程式下載門戶(https://support.hp.com/us-en/drivers),找到相應的裝置型號,然後安裝最新的可用韌體版本。
雖然惠普沒有在公告中公佈更多關於這些漏洞的細節,但遠端程式碼執行和資訊洩露的影響通常是深遠且可怕的,最好多加小心。
資訊來源:HP Customer Support - Knowledge Base
轉載請註明出處和本文連結
每日漲知識
網路釣魚
攻擊者利用欺騙性的電子郵件或偽造的Web站點等來進行網路詐騙活動。
詐騙者通常會將自己偽裝成網路銀行、線上零售商和信用卡公司等可信的品牌,騙取使用者的私人資訊或郵件賬號口令。
受害者往往會洩露自己的郵箱、私人資料,如信用卡號、銀行卡賬戶、身份證號等內容。
推薦文章++++
* 黑客組織聲稱成功入侵微軟,盜走Bing和Cortana原始碼
* Telegram在巴西被封禁,只因電子郵件問題未收到法院傳票?
* 微軟提醒IE瀏覽器將於今年6月15日停用
* 只剩兩個月,俄羅斯資料儲存將耗盡
* 直擊3·15晚會,網路資訊保安成焦點!
* Conti內部聊天記錄暴露勒索軟體團伙工作日常
* 西方最大輪胎製造商普利司通遭勒索軟體攻擊,攻擊者自稱無政治立場
﹀
﹀
﹀