HP vá lỗ hổng nghiêm trọng trong máy in

Theo nhóm Ứng phó bảo mật sản phẩm (Product Security Response Team - PSRT) của HP, các máy in phun của công ty này bị ảnh hưởng bởi những lỗ hổng cho phép tin tặc kích hoạt, gây tràn bộ đệm tĩnh hoặc ngăn xếp và thực thi mã tùy ý bằng cách gửi một tệp tin lừa đảo đặc biệt tới thiết bị bị ảnh hưởng. Lỗ hổng có số hiệu là CVE-2018-5924 và CVE-2018-5925. Cả hai đều có điểm số CVSS (Hệ thống tính điểm lỗ hổng phổ biến) là 9,8.

HP đã công bố danh sách 160 sản phẩm bị ảnh hưởng, bao gồm các thiết bị của PageWide, DesignJet, Officejet, Deskjet, Envy và Photosmart. Các bản cập nhật phần sụn (firmware) cho mỗi sản phẩm bị ảnh hưởng có thể tải về từ trang web của HP.

Đây không phải lần đầu tiên lỗ hổng thực thi mã từ xa được tìm thấy trong máy in của HP. Năm ngoái, các nhà nghiên cứu đã phát hiện một số lỗ hổng nghiêm trọng trong các máy in dành cho doanh nghiệp của HP, bao gồm cả lỗ hổng  thực thi mã từ xa (RCE) ảnh hưởng tới các máy in của LaserJet Enterprise, PageWide Enterprise, LaserJet Managed và OfficeJet Enterprise.

Gần đây HP đã công bố chương trình giải thưởng đến 10.000 USD cho cá nhân nào tìm được lỗ hổng nghiêm trọng trong các máy in của công ty. Vào thời điểm công bố chương trình, HP đã mời được 34 nhà nghiên cứu tham gia.

Chương trình này dành cho các máy in  LaserJet Enterprise và MFP (A3 và A4) của HP cũng như máy in HP PageWide Enterprise và MFPs (A3 và A4).

Linh Anh