IOTsec-Zone 物联网安全社区 | Xerox 解决了基于网络的打印机变砖的威胁

Xerox 解决了基于网络的打印机变砖的威胁

2022-02-08 15:07:36 | 安全资讯 | 321次阅读 | IOTsec-zone

![](https://www.iotsec-zone.com/images/MdImg/ea5f3eec15125749187458d5809faf03.png)

Xerox 已经解决了其固件中的漏洞，该漏洞会导致未经身份验证的用户“远程打印”其网络打印机的某些型号。

漏洞（CVE-2022-23968) 主要影响 Xerox VersaLink 设备，使用恶意制作的 TIFF 文件和未经身份验证的 HTTP POST 请求，使目标崩溃并暂时无法使用打印机。

早在 2019 年 9 月，安全研究员 Mahmoud Al-Qudsi 在开发一键式扫描打印守护程序时发现了该问题。

### 有关的Xerox漏洞披露法律威胁撤回

Al-Qudsi 于 2019 年 9 月向Xerox发出警报，并在 2020 年 1 月向供应商寻求更新，得知该安全漏洞已被确认有效但仍未解决。

仅在 2022 年 1 月这个月，在 Al-Qudsi 公开了该漏洞的详细信息并将其发布在技术博客上。

该漏洞特别令人讨厌，因为它可用于使设备崩溃，从而使问题在简单重启后仍然存在。

“根本原因是错误的 TIFF 解析器导致设备/内核产生安全问题，但真正的原因是不严谨的设计/架构，”

“如果处理一个单一的工作崩溃了，那就会让整个事情崩溃。作业在完全解析和验证之前被添加到队列中……不良作业在重新启动后仍然存在。”

![](https://www.iotsec-zone.com/images/MdImg/23109e402e7403a8d1e20a89e8696723.jpg)

通过扩展漏洞泄露过程，该漏洞花了数月时间才得以解决。

Al-Qudsi对施乐公司迟迟不回应持批评态度，研究人员指出，施乐的官方政策“赞扬‘负责任的披露’的好处，并发誓要认真对待问题，迅速解决问题，最重要的是，让安全研究人员随时了解事态发展”。

“他们很快就回复了我向他们披露bug的最初要求，但之后他们再也没有联系过我，我不得不窃听他们的更新” 。

### 关注最新的物联网安全新闻和分析

Xerox 提供了一份声明，引用了解决问题的安全更新，以及一份相关的安全公告，发布于周四（1月27日）：

Xerox 已意识到一个潜在的漏洞，影响某些产品上旧版本的固件。有关此事的更多信息，请参阅[Xerox security bulletin XRX22-002](https://securitydocs.business.xerox.com/wp-content/uploads/2022/01/Xerox-Security-Bulletin-XRX22-002-Special-Bulletin-Regarding-CVE-2022-23968.pdf)。

供应商的答复没有解释为什么要花两年多的时间来解决这个漏洞。

### 最后

Xerox 打印机漏洞属于一种可能通过 Web 触发的类型，可能是通过使用跨站请求伪造([CSRF](https://portswigger.net/web-security/csrf)) 安全漏洞。

顺便说一句，这正是Chrome浏览器最近推出的一项旨在防止攻击的功能

举报原因

友情链接