Компания HP опубликовала информацию о трех критических уязвимостях, затрагивающих сотни моделей принтеров LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format и DeskJet.
Первый бюллетень безопасности предупреждает об уязвимости переполнения буфера, которая может привести к удаленному выполнению кода на уязвимой машине. О проблеме, которая получила идентификатор CVE-2022-3942, сообщили специалисты команды Trend Micro Zero Day Initiative. Хотя по шкале CVSS уязвимость оценивается на 8,4 балла из 10 возможных, инженеры HP считают ее критической.
«Некоторые продукты HP Print и Digital Sending могут быть уязвимы для удаленного выполнения кода и переполнения буфера при использовании Link-Local Multicast Name Resolution или LLMNR», — предупреждают в компании.
HP уже подготовила патчи для большинства уязвимых продуктов, а для моделей, которым исправлений не досталось, компания рекомендует отключение LLMNR (Link-Local Multicast Name Resolution) в сетевых настройках.
Второй бюллетень безопасности предупреждает сразу о двух критических и одной серьезной уязвимости, которые могут быть использованы для раскрытия информации, удаленного выполнения кода и отказа в обслуживании. Эти уязвимости имеют идентификаторы CVE-2022-24291 (7,5 балла по шкале CVSS), CVE-2022-24292 (9,8 балла по шкале CVSS) и CVE-2022-24293 (9,8 балла по шкале CVSS). Они тоже было обнаружены аналитиками Zero Day Initiative.
В данном случае так же рекомендуется обновить прошивку уязвимого принтера до свежей версии, однако патчи доступны не для всех затронутых моделей. К примеру, какие-либо рекомендации по устранению проблем пока вообще отсутствуют для одной из моделей LaserJet Pro. Обновления для нее обещают выпустить в ближайшем будущем, но точных дат не называют.
Хотя пока технических подробностей о свежих багах крайне мало, последствия эксплуатации уязвимостей, связанных с удаленным выполнением кода и раскрытием информации, как правило, оказываются весьма серьезными. Поэтому свежие патчи рекомендуется установить как можно скорее.