北京時(shí)間11月29日消息,據(jù)國(guó)外科技網(wǎng)站CNET報(bào)道,美國(guó)計(jì)算機(jī)緊急響應(yīng)小組(US-CERT)最新發(fā)布的一份報(bào)告稱,由三星制造的三星打印機(jī)存在一個(gè)硬編碼帳戶,可導(dǎo)致黑客控制并訪問(wèn)設(shè)備。據(jù)悉,部分由三星生產(chǎn)的戴爾品牌打印機(jī)也存在該問(wèn)題。
US-CERT稱,這些打印機(jī)包含一個(gè)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)硬編碼,即使用戶將網(wǎng)絡(luò)協(xié)議設(shè)置為禁用狀態(tài),也可致黑客完全讀/寫(xiě)訪問(wèn)并保持活躍狀態(tài)。
US-CERT在報(bào)告中稱,“未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以特權(quán)管理員身份訪問(wèn)存在問(wèn)題的設(shè)備,且可造成更多影響,其中包括:能夠更改設(shè)備配置、訪問(wèn)敏感信息(比如設(shè)備和網(wǎng)絡(luò)信息,安全認(rèn)證以及傳遞到打印機(jī)的信息),并能夠利用執(zhí)行任意代碼實(shí)施進(jìn)一步的攻擊。”
三星已獲悉其打印機(jī)存在這一缺陷,并稱今年10月31日以后生產(chǎn)的打印機(jī)不含這一漏洞。三星公司已承諾將在今年年底前發(fā)布補(bǔ)丁封堵該漏洞。
與此同時(shí),US-CERT建議潛在影響的用戶只可接受信任的主機(jī)和網(wǎng)絡(luò)連接,這樣可以防止黑客利用封鎖網(wǎng)絡(luò)位置經(jīng)由硬編碼帳戶對(duì)打印機(jī)實(shí)施攻擊。在具體處理過(guò)程中因產(chǎn)品而異,US-CERT網(wǎng)站上提供了一些防火墻配置方面的安全提示。
如果你擁有一臺(tái)三星或戴爾打印機(jī),怎么才能知道自己的產(chǎn)品是否受到該漏洞影響呢?US-CERT一位發(fā)言人稱,除了檢查生產(chǎn)日期外,最好的辦法就是直接聯(lián)系三星或戴爾技術(shù)支持進(jìn)行確認(rèn)。
三星一位發(fā)言人表示,這一問(wèn)題僅會(huì)影響到啟用了SNMP的打印機(jī)設(shè)備,因此,禁用該協(xié)議后這一問(wèn)題將被解決。但這似乎與US-CERT所提供的安全信息相互矛盾。這一問(wèn)題有待三星予以澄清。
該漏洞最先由安全研究員尼爾·史密斯(Neil Smith)發(fā)現(xiàn)。史密斯在twitter上透露了該漏洞的一些細(xì)節(jié),但他稱就這些漏洞與三星溝通時(shí)并未引起三星足夠重視,進(jìn)展頗不順利。
推薦閱讀
郭臺(tái)銘擬在國(guó)內(nèi)推大電視 京東方等將參與
創(chuàng)維集團(tuán)彩電事業(yè)本部總裁劉棠枝表示,創(chuàng)維與郭臺(tái)銘方面的確有接觸,但只涉及采購(gòu)其大尺寸面板,“不涉及渠道方面的合作”。創(chuàng)維與面板廠商的合作中,與韓國(guó)企業(yè)LGD關(guān)系最為密切,不僅大量采購(gòu)LGD面板,還參股了LGD在>>>詳細(xì)閱讀
本文標(biāo)題:三星打印機(jī)存安全隱患 可致黑客攻擊
地址:http://www.sdlzkt.com/a/xie/20121229/110769.html