Firmware-Update mildert Sicherheitsprobleme von Laserjet-Druckern
Das Update soll die Gefahren einer Schwachstelle mildern, durch die Angreifer mit einer modifizierten Firmware möglicherweise Überhitzungen oder Brände auslösen können.
- Thorsten Leemhuis
HP hat ein Firmware-Update für einige Drucker der Laserjet-Baureihe freigegeben, das die Gefahren einer Ende November publik gewordenen Schwachstelle "mildern" soll; das Unternehmen betont zudem, es würde die Problematik "aktiv an Kunden und Partner kommunizieren". Noch ist es damit allerdings nicht weit her: Welche Änderungen HP vorgenommen hat, verrät die Mitteilung zum Update nicht und gibt dieser auch keine Liste der Geräte mit, für die eine neue Firmware bereit steht.
Bei den betroffenen Modellen der Laserdrucker-Serie werden die Updates von jeher ohne digitale Signatur ausgeliefert. Die Geräte akzeptieren und installieren daher jede beliebige Firmware, und ein präparierter Druckjob – von einem Linux-System oder Mac abgeschickt – kann ein Firmware-Update auslösen, unter bestimmten Umständen auch aus der Ferne. Angreifer könnten auf diesem Wege mit eingeschleustem Code Drucker unter ihre Kontrolle bringen.
Den Forschern der Universität Columbia, die die Lücke entdeckt haben, gelang es laut US-Medien in einem Versuch, die Fixiereinheit durch eine manipulierte Software zu überhitzen. HP dementiert jedoch, dass sich Brände provozieren lassen: Eine Thermosicherung, die mit der Fixiereinheit in Reihe geschaltet ist, soll ein zu starkes Überhitzen und einen Brand verhindern.
Dennoch sollten Besitzer von HP-Laserdruckern nach dem Sicherheitsupdate Ausschau halten. Denn sonst bleibt das Risiko, dass die Drucker benutzt werden, um das Netzwerk auszuspionieren, in dem sie stehen: Kaum ein Admin kommt auf die Idee, seine Server und seine Infrastruktur gegen die eigenen Drucker abzuschotten.
Wie schon bei Bekanntwerden des Problems empfiehlt HP auch in seiner jetzigen Mitteilung, Drucker hinter eine Firewall zu stellen und, sofern möglich, die Remote-Update-Funktionen zu deaktivieren; einige weitere Sicherheitshinweise hat das Unternehmen auf einer eigenen Webseite gesammelt. Einige der allgemeinen Empfehlungen sind auch für Drucker anderer Hersteller relevant, denn das Risiko von Angriffen auf Netzwerkdrucker ist nicht erst seit Entdeckung der Firmware-Schwachstelle bei Laserjets ein Thema; auch bei Produkten anderer Hersteller gab es schon Probleme. (thl)
