Xerox 已经解决了其固件中的漏洞,该漏洞会导致未经身份验证的用户“远程打印”其网络打印机的某些型号。
漏洞(CVE-2022-23968) 主要影响 Xerox VersaLink 设备,使用恶意制作的 TIFF 文件和未经身份验证的 HTTP POST 请求,使目标崩溃并暂时无法使用打印机。
早在 2019 年 9 月,安全研究员 Mahmoud Al-Qudsi 在开发一键式扫描打印守护程序时发现了该问题。
有关的Xerox漏洞披露法律威胁撤回
Al-Qudsi 于 2019 年 9 月向Xerox发出警报,并在 2020 年 1 月向供应商寻求更新,得知该安全漏洞已被确认有效但仍未解决。
仅在 2022 年 1 月这个月,在 Al-Qudsi 公开了该漏洞的详细信息并将其发布在技术博客上。
该漏洞特别令人讨厌,因为它可用于使设备崩溃,从而使问题在简单重启后仍然存在。
“根本原因是错误的 TIFF 解析器导致设备/内核产生安全问题,但真正的原因是不严谨的设计/架构,”
“如果处理一个单一的工作崩溃了,那就会让整个事情崩溃。作业在完全解析和验证之前被添加到队列中……不良作业在重新启动后仍然存在。”
通过扩展漏洞泄露过程,该漏洞花了数月时间才得以解决。
Al-Qudsi对施乐公司迟迟不回应持批评态度,研究人员指出,施乐的官方政策“赞扬‘负责任的披露’的好处,并发誓要认真对待问题,迅速解决问题,最重要的是,让安全研究人员随时了解事态发展”。
“他们很快就回复了我向他们披露bug的最初要求,但之后他们再也没有联系过我,我不得不窃听他们的更新” 。
关注最新的物联网安全新闻和分析
Xerox 提供了一份声明,引用了解决问题的安全更新,以及一份相关的安全公告,发布于周四(1月27日):
Xerox 已意识到一个潜在的漏洞,影响某些产品上旧版本的固件。有关此事的更多信息,请参阅Xerox security bulletin XRX22-002。
供应商的答复没有解释为什么要花两年多的时间来解决这个漏洞。
最后
Xerox 打印机漏洞属于一种可能通过 Web 触发的类型,可能是通过使用跨站请求伪造(CSRF) 安全漏洞。
顺便说一句,这正是Chrome浏览器最近推出的一项旨在防止攻击的功能
