مدونة InkJet بالجملة
عرضت شركة HP جائزة نقدية قدرها 100000 دولار للباحثين الذين يمكنهم العثور على نقاط ضعف في منتجات طابعاتها قبل أيام فقط ، ويبدو أن تقريرين معينين لفتا انتباههم لأن الشركة أصدرت تحديثات للبرامج الثابتة لاثنين من الأخطاء الخطيرة. تحذر HP من أن المئات من طابعات Inkjet الخاصة بها معرضة لثغرتين من ثغرات تنفيذ التعليمات البرمجية عن بُعد. يجب على المستخدمين تحديث البرامج الثابتة الخاصة بهم على الفور للتخفيف من عواقب نقاط الضعف الشديدة هذه.
وفقًا لـ HP Support Communication Security Bulettin ، فإن ملفًا ضارًا يتم إرساله إلى طابعات HP المتأثرة يمكن أن يتسبب في تجاوز سعة المخزن المؤقت الثابت أو المكدس والذي قد يمهد الطريق لتنفيذ التعليمات البرمجية عن بُعد. تسميات الأمان المخصصة لهذه الثغرات الأمنية هي CVE-2018-5924 و CVE-2018-5925 . تلقت كلتا الثغرات الأمنية نقاط أساسية حرجة CVSS 3.0 تبلغ 9.8 لكل منهما.
تفخر HP بكونها الشركة الوحيدة التي تقدم مثل هذه الجوائز الكبرى لاكتشاف نقاط الضعف في خط طابعتها. عند الإبلاغ عن الحادث (مهما كان ذلك ومتى كان ذلك ممكنًا) ، عمل فريق HP بجد لإصدار تحديثات للتخفيف من المخاطر المطروحة. أصدر المسؤولون التنفيذيون في HP بيانات فخر تجاه جهود فريقهم وسجل أداء شركتهم.
من غير الواضح ما إذا تم الإبلاغ عن هذه الثغرات الأمنية من خلال البرنامج أو ما إذا كانت HP على علم بها من قبل. ومع ذلك ، فإن التوقيت يجعل الأمر يبدو كما لو أن هذه هي نتيجة مطاردة المكافآت. وبغض النظر عن ذلك ، فقد احتفظت HP بمكانتها كمزود 'الطباعة الأكثر أمانًا في العالم' من خلال إطلاق التصحيحات قبل أي استغلال للثغرات الأمنية المعروفة.
تم نشر قائمة تضم 166 نوعًا وطرازًا من طابعات الاستخدام الشخصي والمتصلة بشبكة المؤسسة والمتأثرة في الجزء السفلي من HP إصدار نشرة الأمن . تتضمن هذه الطرز مجموعة كبيرة من طابعات OfficeJet و DeskJet و Envy و DesignJet و PageWide Pro. تم أيضًا إدراج تحديثات البرامج الثابتة المرتبطة بجانب أرقام الطراز. يُطلب من مالكي طابعات HP تحديث البرامج الثابتة الخاصة بهم على الفور لتجنب المخاطرة بعواقب اثنين من الثغرات الأمنية في تنفيذ التعليمات البرمجية عن بُعد.
