Η Lexmark δημοσίευσε αρκετές προειδοποιήσεις ασφαλείας σχετικά με τις πρόσφατα αποκαλυπτικές ευπάθειες στο λογισμικό εκτύπωσης και υλικολογισμικό Lexmark. Παρέχονται μπαλώματα και οι πελάτες καλούνται να ενημερώσουν αμέσως τις συσκευές και το λογισμικό τους για να τους προστατεύσουν από πιθανές επιθέσεις.
Τις λεπτομέρειες:
- Τα τρωτά σημεία βρέθηκαν στο λογισμικό διαχείρισης εκτύπωσης της Lexmark, στο ενσωματωμένο διακομιστή ιστού και στο υλικολογισμικό.
- Η Lexmark λέει ότι δεν γνωρίζει τις εκμεταλλεύσεις στην άγρια φύση.
- Τα μπαλώματα ασφαλείας είναι διαθέσιμα.
Δύο από τα τρωτά σημεία ασφαλείας έχουν λάβει μια συνολική βαθμολογία σοβαρότητας της κρίσιμης σημασίας.
Κρίσιμη ευπάθεια στον πελάτη διαχείρισης εκτύπωσης Lexmark
Γρήγορη λύση:Ενημερώστε το λογισμικό πελάτη στην έκδοση 3.5.0.0 ή νεότερη έκδοση.
Το CVE-2025-1126 έχει βαθμολογία CVSS 9,3. Πρόκειται για ευπάθεια στον πελάτη διαχείρισης εκτύπωσης της Lexmark. Το Lexmark επιβεβαιώνει ότι το ζήτημα επηρεάζει το λογισμικό σε Windows, MacOS και Linux.
Το Lexmark το περιγράφει ως εξάρτηση από την ευπάθεια των μη αξιόπιστων εισροών στον πελάτη, αλλά δεν παρέχει πρόσθετες πληροφορίες στοτην ειδοποίηση ασφαλείας. Η επιτυχής εκμετάλλευση θα μπορούσε να οδηγήσει στην έναρξη αυθαίρετων διεργασιών στο πλαίσιο του συστήματος ή των ριζικών πλαισίων ή στη διαγραφή των φακέλων, συμπεριλαμβανομένων των "φακέλων που απαιτούν τυπικά διαχειριστή ή άλλα αυξημένα δικαιώματα πρόσβασης".
Το ζήτημα ασφαλείας επηρεάζει τις εκδόσεις 3.0.0 έως 3.4.0 του πελάτη διαχείρισης εκτύπωσης Lexmark. Η Lexmark συνιστά να ενημερώνονται οι πελάτες στην τελευταία έκδοση του λογισμικού πελάτη. Η διαδικασία εξηγείταιΙστοσελίδα υποστήριξης της Lexmark.
Κρίσιμη ευπάθεια στον διακομιστή ιστού
Γρήγορη λύση:Ορίστε έναν κωδικό πρόσβασης για να αποτρέψετε την μη εξουσιοδοτημένη πρόσβαση και ενημέρωση του υλικολογισμικού.
Το CVE-2024-11348 είναι η δεύτερη κρίσιμη ευπάθεια. Έχει βαθμολογία βάσης CVSS 9,1. Το LEXMARK το περιγράφει ως "Traversal Path Path και ταυτόχρονη ευπάθεια εκτέλεσης" στον ενσωματωμένο διακομιστή ιστού των συσκευών Lexmark.
Η επιτυχής εκμετάλλευση του θέματος μπορεί να οδηγήσει σε απομακρυσμένη εκτέλεση αυθαίρετου κώδικα σε ευάλωτες συσκευές. Η Lexmark παραθέτει όλους τους πληγέντες εκτυπωτέςσε ένα έγγραφο υποστήριξης.
Διαβάστε περισσότερα:Πώς να αφαιρέσετε την προειδοποιητική απάτη ασφαλείας των Windows Defender Security
Η Lexmark συνιστά την ενημέρωση του υλικολογισμικού των πληγέντων εκτυπωτών. Οι διαχειριστές μπορούν επίσης να ορίσουν έναν κωδικό πρόσβασης στην πληγείσα συσκευή για να εμποδίσουν τους μη αξιόπιστες χρήστες από την εκτέλεση της ευπάθειας. Η Lexmark λέει ότι οι χρήστες καλούνται να ορίσουν έναν κωδικό πρόσβασης στην αρχική ρύθμιση.
Τέσσερα τρωτά σημεία βαθμολόγησαν υψηλά
Γρήγορη λύση:Η Lexmark συνιστά την αναβάθμιση του υλικολογισμικού των προσβεβλημένων συσκευών, υπό την προϋπόθεση ότι υπάρχει διαθέσιμη αναβάθμιση υλικολογισμικού.
Επιπλέον, η Lexmark επιβεβαίωσε τέσσερα ζητήματα ασφαλείας στον διερμηνέα PostScript σε εταιρικές συσκευές.
- CVE-2024-11344- Έχει εντοπιστεί ευπάθεια τέλους σύγχυσης τύπου στον διερμηνέα PostScript σε διάφορες συσκευές Lexmark.
- CVE-2024-11345-Η ευπάθεια μνήμης με βάση το σωρό έχει εντοπιστεί στον διερμηνέα PostScript σε διάφορες συσκευές Lexmark.
- CVE-2024-11346- Έχει εντοπιστεί ευπάθεια τέλους σύγχυσης τύπου στον διερμηνέα PostScript σε διάφορες συσκευές Lexmark.
- CVE-2024-11347- Έχει εντοπιστεί ευπάθεια υπερχείλισης ακέραιου ακέραιου αριθμού στον διερμηνέα Postscript σε διάφορες συσκευές Lexmark.
Τα τρωτά σημεία μπορούν να εκμεταλλευτούν την εκτέλεση αυθαίρετου κώδικα ως χρήστη που δεν προωθούνται. Η αναβάθμιση του υλικολογισμικού επιλύει τα θέματα ασφαλείας.