Dört kritik uzaktan kod yürütme (RCE) güvenlik açığının ortaya çıkmasının ardından, 150’den fazla Lexmark yazıcı modelinin ürün yazılımı güncellemesine ihtiyacı var.
Hatalar, Trend Micro’nun Sıfır Gün Girişimi (ZDI) aracılığıyla, Summoning Team’den Sina Kheirkhah; Chris Anastasio; PHPHooligans Takımı üyeleri Rick de Jager, Carlo Meijer ve Jonathan Jagt; ve Viettel Takımı.
CVE-2023-50737 [pdf] Lexmark’ın “Lexmark tarafından cihaz hatalarını teşhis etmek için kullanılan bilgileri içerdiğini” söylediği SE menüsündeki bir hatadır.
Uyarı belgesinde, menü rutinlerinden birinin keyfi kod çalıştırmak için kullanılabileceği ve güvenlik açığının 9,1 gibi kritik bir CVSS puanı taşıdığı belirtiliyor.
Lexmark, SE menüsünün yalnızca güvenilir kullanıcılarla sınırlandırılması gerektiğini söyledi.
Güvenlik açığı bulunan yazıcıların PostScript yorumlayıcılarında da üç güvenlik açığı bulunuyor: CVE-2023-50736 [pdf]CVE-2023-50735 [pdf]ve CVE-2023-50734 [pdf]Hepsi 9,0 kritik CVSS puanı taşıyor.
PostScript güvenlik açıklarının geçici çözümü yoktur; Firmware güncellemeleri gerekiyor.