Af Eskil Sørensen, 23/03/22
HP har udgivet advisories for tre kritiske sårbarheder, der påvirker hundredvis af HP-printere under serierne LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format og DeskJet printermodeller. Det skriver Bleeping Computer.
Der er forskellige fejl, der bl.a. kan føre til fjernafvikling af kode på den berørte printer. Fejlen har id’et CVE-2022-3942 og en CVSS-score på 8,4.
Det fremgår af Bleeping Computer, at HP har udgivet sikkerhedsopdateringer til de fleste af de berørte produkters firmware. Til de modeller, der ikke har fået en patch, er der udarbejdet instruktioner til afhjælpning af risikoen for udnyttelse. Hovedsageligt drejer sig det sig om at deaktivere LLMNR (Link-Local Multicast Name Resolution) i netværksindstillingerne.
I en anden advisory advarer HP om to kritiske og en alvorlig sårbarhed, der kan udnyttes til videregivelse af oplysninger, fjernafvikling af kode og denial-of-service. De tre sårbarheder har følgende id-numre CVE-2022-24291 (CVSS-score 7,5), CVE-2022-24292 (CVSS-score: 9,8) og CVE-2022-24293 (CVSS-score 9,8). Også her er anbefalingen at opdatere, men for så vidt angår en af de anførte LaserJet Pro-modeller, er der ingen afhjælpningsmulighed. Her skulle opdateringerne til gengæld snart være tilgængelige.
Af HPs officielle software- og driverdownloadportal kan man fremsøge sin model og derfra installere den seneste tilgængelige firmwareversion.