2015年9月，惠普推出配備有嵌入式安全功能的企業(yè)級LaserJet打印機(jī)以及多功能一體機(jī)（MFP），并聲稱這些安全功能來自惠普筆記本電腦所使用的安全系統(tǒng)，可以有效應(yīng)對黑客攻擊。

比如圖下這個(gè)名為《狼》的廣告，雷鋒網(wǎng)的編輯就在好幾個(gè)安全會(huì)議上看到過。

這家科技巨頭聲稱它提供了“世界上最安全的打印”，在公司最近開展的一項(xiàng)市場營銷活動(dòng)中，還顯示了其他供應(yīng)商的打印機(jī)被黑客攻擊后，所造成的重大損害。

那主打“安全”概念的這幾款打印機(jī)，到底能否名副其實(shí)？

來自 FoxGlove Security 公司的研究人員決定一試究竟。

他們使用由德國魯爾大學(xué)波鴻分校的研究人員開發(fā)的 PRET（PRinter Exploitation Toolkit）程序，對2000美元的惠普 PageWide Enterprise 586dn多功能打印機(jī)以及售價(jià)約為500美元的 HP LaserJet Enterprise M553n 打印機(jī)進(jìn)行了測試。

當(dāng) PRET 被引入時(shí)，研究人員的目標(biāo)是找到一個(gè)可用于遠(yuǎn)程代碼執(zhí)行（RCE）的漏洞。為了達(dá)到這個(gè)目的，他們提取了打印機(jī)操作系統(tǒng)和固件，并對其進(jìn)行了逆向工程。

雖然惠普已經(jīng)實(shí)施了一些機(jī)制來防止篡改系統(tǒng)，但是研究人員設(shè)法繞過了這些系統(tǒng)并獲得了對文件的訪問權(quán)限。

這不僅允許他們可以訪問任何打印作業(yè)（包括PIN保護(hù)作業(yè)）的內(nèi)容， PRET 還幫助研究人員發(fā)現(xiàn)了可用于操縱打印作業(yè)內(nèi)容的漏洞，并將設(shè)備重置為出廠設(shè)置。

也就是說，他們不僅能知道你即將要打印的東西是什么，還能對你打印出的東西進(jìn)行篡改！

目前，研究人員聲稱已經(jīng)用它找到惠普，兄弟，利盟，戴爾，三星，柯尼卡，OKI和Kyocer 的20臺打印機(jī)的漏洞。該代碼執(zhí)行漏洞于8月21日向惠普公布。

惠普宣稱，已于上周五對漏洞（CVE-2017-2750）進(jìn)行了修復(fù)。該漏洞影響的打印機(jī)包括 HP LaserJet Enterprise，PageWide Enterprise，LaserJet Managed 和 OfficeJet Enterprise 等。

參考來源：securityweek

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。