Společnost Hewlett-Packard odmítá, že by bezpečnostní zranitelnost
jejích laserových tiskáren mohla způsobit požár.
Článek na MSNBC
odstartoval kauzu, podle níž Salvatore Stoflo, bezpečnostní výzkumník
z Columbia University, a jeho kolegové přišli na nový způsob zneužití
tiskáren.
Dnešní chytré tiskárny lze v případě bezpečnostní zranitelnosti
ovládnout podobně jako počítače. Útočník pak získá přístup k tištěným
dokumentům, ale může přes tiskárnu zkoušet proniknout také do zbytku
firemní sítě. Podobné sdělení a popis konkrétní chyby by sotva
vyvolaly větší rozruch, radikálnější bylo ale Stoflovo tvrzení, že
útočník může vzdáleně také upravit firmware tiskárny tak, aby způsobil
hmotné škody. Mohl by tiskárnu poškodit nebo dokonce přimět k chování,
které hrozí požárem.
HP připouští, že v některých tiskárnách řady LaserJet existuje opravdu
potenciální bezpečnostní zranitelnost. Týká se však především situace,
kdy je tiskárna připojena k Internetu bez firewallu. Neplechy může
provádět i útočník z vnitřní sítě, v některých prostředích sítí s
Linuxem a MacOS lze údajně změnit firmware pomocí speciálně připravené
tiskové úlohy.
Problém je to ale spíše teoretický, žádný uživatel podle HP
neoprávněný vzdálený přístup nezaznamenal. HP především popírá, že by
tu byl prostor pro žháře. Zapálit úpravou firmwaru údajně nic nejde,
protože tiskárny obsahují proti přehřátí fixační jednotky „jistič“
(thermal breaker), který se změnou firmwaru vyřadit nedá.
HP slíbila vydat bezpečnostní opravu, do té doby nicméně stačí umístit
tiskárny za firewall a zakázat u nich vzdálený upload firmwaru.
Zdroj: ZDNet