Mit Firmware-Updates behebt HP zwei Sicherheitslücken in insgesamt über 160 Modellen und Modellvarianten der eigenen Tintenstrahldrucker. Nicht alle davon werden auch in Deutschland vertrieben. Der Hersteller empfiehlt Anwendern dringend, die Updates baldmöglichst einzuspielen. Im Common Vulnerability Scoring System (CVSS 3.0) werden diese Sicherheitslücken mit 9,8 von zehn Punkten als sehr gefährlich eingestuft. Update, 8. August 2018, 17 Uhr 30: Inzwischen informiert HP seine Kunden auch auf der deutschen Website mit einem Security Bulletin. Besitzer von HP-Produkten können sich zudem hier registrieren, um eventuelle Sicherheitshinweise jeweils schnellstmöglich sofort vom Hersteller zu erhalten.
Angreifer könnten die Schwachstellen mit den Kennungen CVE-2018-5924 und CVE-2018-5925 ausnutzen, indem sie an betroffene Geräte eine manipulierte Datei senden. Dadurch lasse sich ein Stack Overflow oder ein statischer Buffer Overflow auslösen und anschließend werde die Code-Ausführung aus der Ferne ermöglicht. Weitere Details zu den Schwachstellen hat HP nicht genannt. Auch aus den Einträgen in der CVE-Datenbank geht dazu noch nichts hervor.
Die meisten Firmware-Updates müssen sich Anwender von der HP-Webseite holen. Nur einige der anfälligen HP-Drucker verfügen über eine integrierte Update-Funktion. Fachhändler sollten Kunden, die betroffene Modelle bei ihnen erworben haben, auf die Lücken hinweisen und bei Bedarf Hilfe bei der Absicherung anbieten. Sie können die Gelegenheit gegebenenfalls nutzen, um mit ihren Kunden grundsätzlich über Sicherheitskonzepte für ihre Drucker zu sprechen und ihnen entsprechende Angebote unterbreiten.
HP-Bemühungen um sichere Drucker
Im Rahme der seit zwei Jahren erheblich verstärkten Bemühungen, eigene Drucker und Multifunktionsgeräte sicherer zu machen, hat HP erst vor wenigen Tagen ein Bug-Bounty-Programm vorgestellt. Damit sollen Sicherheitsforscher animiert werden, Sicherheitslücken in HP-Druckern aufzuspüren und an den Hersteller zu melden. Für identifizierte Schwachstellen gibt es Prämien in einer Höhe von bis zu 10.000 Dollar.
Die Bemühungen sind lobenswert, im Vergleich zu den auf dem Schwarzmarkt für Sicherheitslücken erzielbaren Preise ist das jedoch wenig. Ob die Entdeckung der nun geschlossenen Schwachstellen bereits auf einen Teilnehmer des Programms zurückgeht, ist nicht bekannt.
Ende 2016 hatte HP seine Managed Print Services (MPS) neu konzipiertund dabei den Schwerpunkt auf bessere Absicherung von Netzwerkdruckern gelegt. Kurz darauf stellt der Konzern Sicherheitsservices und Software für Drucker vor, zu denen unter anderem automatisierte Firmware-Updates gehören. Darüber hinaus bietet HP eine Reihe von Services für mehr Sicherheit von Netzwerkdruckern in Firmen.