打印语言曝跨站漏洞,影响戴尔惠普等 20 款热门打印机
鲁尔大学研究人员发现了一种使用旧 PostScript 和 PJL 语言的跨站打印漏洞,允许攻击者从打印机中窃取关键信息甚至关闭设备。热门品牌如 Dell、Brother、Konica、Samsung、HP 和 Lexmark 等多款打印机型号受影响,而且多数为激光打印机。
“在打印机安全的学术研究上, *** 打印机和数码复合机(MFP)的各种漏洞早已被发现”,网站“ Hacking Printers ”文章中曾指出,“只要是能连上打印机的任何人都可执行这种攻击,如通过 USB 或 *** 等,甚至可以组合 CORS 欺骗进行攻击”。
漏洞验证工具
研究人员已发布一款基于 Python 的概念验证代码,命名为 Printer Exploitation Toolkit(PRET),用于简化基于 PostScript 和 PJL 的打印机文件系统访问。该工具通过 *** 或 USB 连接到打印机,并从打印机中的 PostScript 或 PJL 语言中发现安全漏洞。
漏洞原理
研究人员公布了六份报告披露多个安全问题,包括缓冲区溢出、密码泄露以及打印作业捕获等,其中有一类能使攻击者访问打印机的文件系统,该 *** 利用 CORS 机制允许第三方域在打印时读取网页数据。
CORS 欺骗和跨站打印漏洞的组合可被黑客利用通过基于 web 的攻击来访问打印机,例如使用隐藏的 iframe 向受害者打印机端口 9100 / TCP 发送 HTTP POST 请求内部 *** 那样,通过操作打印语言输出命令便可通过打印机中将数据发回浏览器。
目前,专家们已向所有打印机厂商通报了该漏洞。
稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。
“打印语言曝跨站漏洞,影响戴尔惠普等 20 款热门打印机” 的相关文章
公民实验室:英政府内部网络曾遭“飞马”间谍软件攻击
加拿大多伦多大学下属“公民实验室”(Citizen Lab)的研究人员当地时间周一发文称,该实验室的核心任务是对民间社会的数字威胁进行研究。在调查雇佣军间谍软件的过程中,他们偶尔会观察到一些案例,怀疑政府正在使用间谍软件对其他政府进行国际间谍活动。这些案件绝大多数都不属于他们的范围和任务。然而,在某...
宜家加拿大分公司通报数据泄露事件 影响约 95000 名客户
当地时间5月6日,宜家(IKEA)加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家(IKEA)加拿大公司在致受影响客户的一封信中表示,可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。 宜家加拿大公司已通知加拿大隐私专员,因为有95...
有用户怀疑 LastPass 的主密码数据库可能已被泄露
有使用LastPass的用户报告说,有多人试图使用正确的主密码从不同地点登录,表明该公司可能存在数据泄露。Hacker News论坛的多名用户报告称他们的LastPass的主密码似乎被泄露了。 目前还不知道这些密码是如何泄露的,但在用户中已经出现了一种类似的情形。 大多数报告似乎来自拥有过时的Las...
虚拟专用网未打补丁:FBI 通报某市级政府机构遭遇 APT 攻击
美国联邦调查局(FBI)刚刚通报了一起高级持续性威胁(APT)事件,可知黑客利用了未经修补的 Fortinet 网络设备中的漏洞,对市级政府机构的网络造成破坏。由 FBI 官网披露的行业警报可知,有关部门在 2021 年 5 月检测到了入侵迹象。 其实早在 2021 年 4 月打上了另一款 For...
CISA 推平台以让黑客向美国联邦机构报告安全漏洞
据外媒Techcrunch报道,美国网络安全和基础设施安全局(CISA)启动了一项漏洞披露计划,其允许有道德的黑客向联邦机构报告安全漏洞。据悉,该平台在网络安全公司Bugcrowd和Endyna的帮助下推出,它将允许民间联邦机构接收、分类和修复来自更广泛的安全社区的安全漏洞。 CISA在推出该平台不...
FluBot 肆虐 Android 平台:伪装成快递应用窃取用户敏感数据
一个旨在窃取密码、银行资料和其他敏感信息的恶意软件正在 Android 平台上快速传播。这款恶意软件名为 FluBot,通过声称来自某家快递公司的短信进行安装,要求用户点击一个链接来追踪某个包裹。这个钓鱼链接要求用户安装一个应用程序来跟踪假的快递,但实际上会窃取用户的敏感数据。 一旦安装,FluBo...
评论列表
发表评论
