Sicherheit Lexmark, Ricoh: Vier "kritische" Sicherheitslücken in über 150 Druckern vieler Modellreihen
Neben Canon meldet auch der US-amerikanische Druckerhersteller Lexmark "kritische" Sicherheitslücken in seinen Laserdruckern. Anders als bei den Japanern sind jedoch fast alle aktuelle und viele ältere Drucker betroffen.
Die insgesamt vier Lücken sind allesamt mit einem CVSS-Wert von 9,0 und aufwärts und somit als "kritisch" eingestuft.
Abgesehen von einer fehlerhaft geprüften Eingabe im Servicemenü ("SE Menu") einiger Drucker behandeln die drei anderen Schwachstellen einen fehlerhaft implementierten Postscript-Parser. Dieser kann durch manipulierte Druckeingaben zu einem Speicherüberlauf führen, der dann in Folge unter Umständen Schadcode auf den betroffenen Druckern ausführen lässt.
Betroffene Druckerserien
Die Übersicht der betroffenen Druckerserien (C, CX, CS, MX, B, MB, MC, MS, XM, XC) liest sich wie das "Who’s Who" von Lexmarks Portfolio und findet sich auf den jeweiligen Informationsseiten der vier Lücken, die unten in der Tabelle gelistet sind. Es wird dort zudem beschrieben, mit welcher Firmwareversion das Problem besteht.
Firmwareupdate steht zur Verfügung
Um die betroffenen Drucker wieder sicherzumachen, bietet Lexmark eine aktualisierte Firmware an. Eine Installation ist über einen Download möglich oder aber bei einigen Geräten auch direkt über das Bedienpanel.
Auch Ricoh betroffen
Lexmark baut als Auftragsfertiger auch Drucker für andere Hersteller. Dabei handelt es sich in der Regel um Einstiegsserien, für die sich der Entwicklungsaufwand oft nicht besonders lohnt.
In diesem Zuge sind auch die Ricoh-Drucker der recht neuen Modellreihe um das Multifunktionsmodell "M C240FW" sowie den Drucker "P C200W" betroffen.
Andere Hersteller, die ebenfalls zum Teil auf Lexmark-Druckwerk setzen, haben nach unserem Stand bislang keine Sicherheitswarnungen veröffentlicht. Möglich wäre dies u.A. bei Pantum, Sharp oder Xerox.
Lexmark Support Sicherheitshinweise
Ricoh Support (Aktualisierung ausstehend) Sicherheitshinweise
Übersicht der Schwachstellen | ||
---|---|---|
Einstufung (nach CVSS v3 von 0,1 bis 10,1) | Beschreibung | |
CVE-2023-50734 | Stufe 9,0 "kritisch" | Postscript-Pufferüberlauf |
CVE-2023-50735 | Stufe 9,0 "kritisch" | Postscript-Heap-Korruption |
CVE-2023-50736 | Stufe 9,0 "kritisch" | Postscript-Speicherbeschädigung |
CVE-2023-50737 | Stufe 9,1 "kritisch" | Bei Lexmark-Geräten wurde eine Schwachstelle bei der Eingabevalidierung im SE-Menü (Service) festgestellt. |
Copyright Druckerchannel.de |