В принтерах HP обнаружили серьезную уязвимость

Исследователи из Колумбийского университета под руководством профессора Сальваторе Стольфо (Salvatore Stolfo) обнаружили серьезную уязвимость в ряде лазерных принтеров Hewlett-Packard.  Согласно информации специалистов, уязвимость позволяет злоумышленникам загружать в устройства модифицированные прошивки и выполнять тем самым с помощью устройств различные действия в своих интересах, вплоть до – якобы – поджога самого принтера. Об этом в эксклюзивном материале сообщает MSNBC.

Для атаки на принтер достаточно отправить ему специальным образом сформированное задание на печать   – старые устройства HP не проверяют аутентичность обновляемых прошивок, и вместо них злоумышленники могут передать какой угодно код. А так как некоторые принтеры могут принимать документы напрямую из интернета, проблема с ними значительно усугубляется. Исследователи утверждают, что продемонстрировали как при использовании специализированной прошивки им удавалось специальными командами перегреть "печку" лазерного принтера так, что листы внутри становились коричневыми и начинали дымиться. Сам принтер отключался благодаря системе контроля температуры.

Согласно источнику, ученые предупредили федеральные агентства США и HP о данной уязвимости за одну-две недели до передачи подробностей в прессу.

HP выпустила официальный комментарий на этот счет, где подтверждает существование уязвимости с прошивками в отдельных случаях (устройство подключено напрямую к сети, без сетевого экрана, а на Linux и Mac – ещё и при приеме вредоносного документа на печать), но опровергает информацию о том что перегрев "печки" может привести к пожару, так как температура на аппаратном уровне контролируется специальным модулем "termo breaker".

Также компания подчеркивает, что никто из пользователей пока не обращался к ней с информацией о неавторизованном доступе к принтеру по данной причине. HP сообщила, что работает над решением данной проблемы, а до выхода обновления порекомендовала закрывать принтеры сетевым экраном и отключать, где это возможно, возможность удаленного обновления прошивок.