HP uredil težave s pregrevanjem tiskalnikov, izvorni problem ostaja

Minuli mesec smo pisali o ranljivosti v določenih HP-jevih tiskalnikih, ki omogočajo nameščanje popravkov firmwara brez preverjanja njihovega digitalnega podpisa, s čimer je napadalcem omogočeno nameščanje lastne kode. V "najhujši" situaciji bi to lahko povzročilo tudi požar s pregrevanjem toplotnega elementa za sušenje črnila, in prav to možnost so na veliko pograbili tehnični časopisi in vsaj ena ameriška odvetniška pisarna. HP je hitro komentiral, da so tovrstne trditve močno pretirane, dan pred božičem pa so objavili tudi zasilni popravek.

V objavi ni razkrito, kaj točno naredi popravek, je pa gotovo, da ne rešuje izvorne napake z nameščanjem nepodpisanega firmwara. Napadalec s fizičnim ali mrežnim dostopom do tiskalnika lahko še vedno namesti svoj firmware, celo na zahtevo, če ga pošlje skupaj s posebej pripravljenim print jobom. Problem tukaj ni pregrevanje, ampak možnost vohljanja po lokalni mreži, saj so tiskalniki le redko za požarnim zidom in torej povezani na ključne strežnike in delovne postaje v podjetju. Potencial za industrijsko in vojaško špijonažo, ki je je zadnje čase vse več, tako ostaja. HP za zdaj svetuje izklop avtomatskih posodobitev in obvezno postavitev tiskalnikov za požarni zid.

Podobne težave je letos izkusil tudi Xerox.