HP patchte eind vorig jaar een beveiligingslek in de firmware van verschillende Laserjet printers, maar besloot dit niet duidelijk aan klanten te melden. Ook staat in de aankondiging niet om welke printers het gaat, waardoor gebruikers onnodig risico lopen. Dat zegt Graham Cluley van anti-virusbedrijf Sophos. Volgens de onderzoekers die het probleem ontdekten, zou via een firmware-aanval de printer zijn af te branden, maar HP liet weten dat dit niet bij Laserjet printers mogelijk is.
Toch vormt de situatie een serieus beveiligingsprobleem, aldus Cluley. De printers ondersteunen "remote firmware update", waarbij er naar nieuwe updates van fabrikant HP wordt gezocht. De updates zijn niet van een digitale handtekening voorzien, waardoor het eenvoudig is voor een aanvaller om een update te vervalsen.
Driver
"Het goede nieuws is dat HP stilletjes op 23 december een patch voor kwetsbare printers uitbracht. Het slechte nieuws is dat HP-klanten geen eenvoudige manier hebben om te zien of ze de patch nodig hebben." HP heeft geen details vrijgegeven welke printers kwetsbaar zijn. "Wat betekent dat je niet weet of je de update nodig hebt of niet", laat Cluley weten.
HP adviseert Laserjet-eigenaren om naar hp.com te gaan en daar op drivers te zoeken. "Stel je de miljoenen mensen voor die hun tijd verdoen door naar een driver-update te zoeken die er misschien voor hun printer niet eens is." Cluley verwacht dat door de gebrekkige informatie veel Laserjet-gebruikers het lek niet zullen updaten.
Deze posting is gelocked. Reageren is niet meer mogelijk.