HP schließt Sicherheitslücke in Laserjet-Druckern

Über das Internet modifizierte Firmware-Updates ermöglichten Datendiebstahl. Ein Firmware-Update von HP soll zumindest "das Problem mildern". Das Unternehmen empfiehlt zugleich weitere Vorsichtsmaßnahmen.

Hewlett-Packard hat ein Firmware-Update veröffentlicht, das eine Schwachstelle in Laserjet-Druckern behebt. Sie hätte es Hackern theoretisch erlauben können, Daten zu entwenden, Netzwerke unter Kontrolle zu bringen und sogar den Drucker durch Überhitzung zu beschädigen. HP beschreibt das Update aber mit auffallend vorsichtigen Formulierungen und empfiehlt zusätzliche Maßnahmen.

Laserjet Enterprise 600 M603 (Bild: HP)
Laserjet (Bild: HP)

„HP hat ein Firmware-Update erstellt, um dieses Problem zu mildern, und informiert seine Kunden und Partner darüber“, heißt es in einer Erklärung des Herstellers. „Kein Kunde hat HP von einem nicht autorisierten Zugriff berichtet. HP wiederholt seine Empfehlung, bewährte Verfahren zur Sicherung von Geräten anzuwenden, also Drucker hinter einer Firewall zu betreiben und die Ferninstallation von Firmware-Updates möglichst zu deaktivieren.“

Forscher der Columbia University in New York hatten die Probleme Ende November aufgedeckt und öffentlich gemacht. Firmware-Updates ließen sich bei älteren Modellen über das Internet vornehmen, ohne dass sie durch digitale Signaturen authentifiziert wurden. Die Forscher nutzten die Sicherheitslücke aus, indem sie eine präparierte Software einspielten, und konnten dadurch auszudruckende Dokumente an einen anderen Computer weiterleiten. In einer weiteren Demonstration gelang es ihnen angeblich sogar, die Fixiereinheit des Druckers zu überhitzen, so dass das Papier zu rauchen begann und sich braun verfärbte.

HP nannte die Darstellung der Forscher zunächst „sensationsheischend und ungenau“ und erklärte, eine Hardwaresicherung verhindere verlässlich eine Überhitzung. Die Sicherheitslücke musste es jedoch bestätigen: „Obwohl HP eine potenzielle Sicherheitslücke bei einigen Druckern seiner Modellreihe Laserjet ermittelt hat, hat noch kein Kunde von einem nicht autorisierten Zugriff berichtet. Die genannte Schwachstelle besteht bei einigen dieser Drucker, wenn sie ohne Firewall an das Internet angebunden sind. In einem internen Netzwerk könnten einige Drucker anfällig sein, wenn eine Vertrauensperson innerhalb des Netzwerk in böswilliger Weise versucht, die Firmware des Geräts zu modifizieren. In einigen Mac- und Linux-Umgebungen könnte ein korrumpierter und besonders formatierter Druckauftrag ein solches Firmware-Update auslösen.“

Das Unternehmen betonte immer wieder, es lägen keine Kundenberichte von nicht autorisiertem Zugriff vor. Mit dem Update und den vorsichtigen Formulierungen reagiert HP vermutlich auch auf eine im kalifornischen San Jose eingereichte Klage, in der behauptet wurde, dass die Drucker durch eine fehlerhafte Konstruktion „äußerst anfällig für Angriffe durch Hacker“ seien.

Themenseiten: Drucker, Hewlett-Packard

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu HP schließt Sicherheitslücke in Laserjet-Druckern

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *