Kritik Güvenlik Açıkları: Lexmark birçok yazıcı için üretici yazılımını güncelliyor

Bakec

New member
Şu anda Lexmark’ın mevcut iş yazıcılarının çoğunda kullanılan üretici yazılımı sürümleri, kritik güvenlik açıkları içerir. Ağdaki saldırganların, bazen önceden kimlik doğrulaması olmadan, savunmasız cihazlara herhangi bir kod göndermesine ve bunları bunlar üzerinde yürütmesine izin verirler.


Bildirilen sekiz güvenlik açığından Lexmark geliştiricileri, altısını kritik olarak derecelendirdi. Diğer iki güvenlik açığı bu nedenle yüksek riskli kabul edilir.

Lexmark Yazıcıları: Kritik Güvenlik Açıkları


Bir güvenlik kusuru, Lexmark yazıcılarının Basit Ağ İzleme Protokolünü (SNMP) içerir. Görünüşe göre hizmete giriş yeterince kontrol edilmiyor. Lexmark, belirli bir saldırının neye ve nasıl görüneceğini açıklamaz (CVE-2023-26070, CVSS 9.0risk”eleştirmenDaha yeni yazıcı modellerinin Web API’si bile, hata açıklamasında bir Lexmark kopyala-yapıştır hatası mı yoksa SNMP hizmetine iletilen veriler mi, bu da bir boşluk yaratıyor, şu anda net değil, bu tür girdiler için yeterince kontrol etmiyor. (CVE-2023-26069, CVSS 9.0, eleştirmen).

Diğer dört güvenlik açığı, çeşitli Lexmark aygıtlarının postscript yorumlayıcısındaki veri işlemeyi etkiler. Hepsi kritik kabul edilir (CVE-2023-26066, CVE-2023-26065, CVE-2023-26064, CVE-2023-26063; CVSS 9.0, eleştirmen). Ayrıca, daha yeni Lexmark yazıcılarındaki katıştırılmış web sunucusu girişi düzgün şekilde doğrulamaz ve bu da saldırganların kodu kaçırmasına olanak verebilir (CVE-2023-26068, CVSS 8.5, yüksek). Güvenlik açıklarının sonuncusu, halihazırda bir cihaza erişimi olan saldırganların cihaz üzerindeki ayrıcalıklarını artırmasına olanak tanır (CVE-2023-26067, CVSS 8.0, yüksek).


Lexmark, güvenlik açıkları için ayrı güvenlik önerileri yayınlamıştır.


Her Güvenlik Bildirimi, etkilenen yazıcı modellerinin ve serilerinin yanı sıra artık temeldeki hataları içermeyen üretici yazılımı sürüm numaralarının bir listesini içerir. Genel olarak, *.081.232 numaralı aygıt yazılımı sürümleri kritik boşlukları yamalarken, *.081.233 numaralı aygıt yazılımı sürümleri iki yüksek riskli güvenlik açığını düzeltir.

Güvenlik açıklarının oluşturduğu yüksek risk nedeniyle, BT yöneticileri ürün yazılımı güncellemelerini hızlı bir şekilde indirmeli ve kurmalıdır. Üretici, güvenlik raporlarında, Lexmark destek web sitesinde kullanılan yazıcı modeli aranarak yeni ürün yazılımının bulunması gerektiğini yazar.

Ocak ayı sonlarında Lexmark, saldırganların kötü amaçlı kod kaçırmasına olanak sağlayacak ciddi bir güvenlik açığı konusunda uyarıda bulundu. Öte yandan üretici, boşlukları dolduran ürün yazılımı güncellemeleri yayınladı.


(dmk)



Haberin Sonu
 
Üst