W interpreterze PostScript wbudowanym w urządzenia Lexmark wykryto podatność typu heap corruption, która umożliwia zdalne wykonanie dowolnego kodu. Podatność jest krytyczna ze względu na brak wymagania uwierzytelnienia i możliwość przejęcia kontroli nad urządzeniem.
▸ Pokaż oryginał (EN)
A heap corruption vulnerability has been identified in PostScript interpreter in various Lexmark devices. The vulnerability can be leveraged by an attacker to execute arbitrary code.
Błąd polega na uszkodzeniu pamięci sterty (heap corruption) w trakcie przetwarzania danych wejściowych przez interpreter PostScript. Atakujący może przesłać spreparowany dokument lub dane PostScript, które wywołają nieprawidłowe operacje na pamięci. W wyniku tego możliwe jest wykonanie dowolnego kodu w kontekście podatnego urządzenia. Podatność sklasyfikowana jest jako CWE-465, co wskazuje na błędy związane z niewłaściwym zarządzaniem wskaźnikami lub pamięcią.
Atakujący może wykonać dowolny kod na podatnym urządzeniu Lexmark, co może prowadzić do pełnego przejęcia kontroli nad urządzeniem, wycieku przetwarzanych danych oraz wykorzystania urządzenia jako punktu dostępu do sieci wewnętrznej.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi na stronie Lexmark Security Advisories (https://www.lexmark.com/en_us/solutions/security/lexmark-security-advisories.html). Dodatkowo zaleca się ograniczenie dostępu sieciowego do urządzeń drukujących na poziomie firewall oraz wyłączenie zbędnych usług sieciowych.
Różne urządzenia Lexmark wyposażone w interpreter PostScript — konkretne modele wskazane w referencjach producenta (https://www.lexmark.com/en_us/solutions/security/lexmark-security-advisories.html)
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H