刚刚,惠普宣布推出打印机漏洞奖励计划,最高奖励为1万美元。
惠普表示,这是行业内的首个漏洞奖励计划,由惠普和众测安全平台 Bugcrowd 联合推出。
漏洞奖励计划内容
- 受邀制。该漏洞奖励计划不对外公开,受邀研究员的主要任务是找到固件级别的漏洞,包括远程代码执行漏洞、跨站请求伪造漏洞和跨站脚本漏洞。目前参与计划的研究员人数为34人。
- 奖金。奖金范围是500美元至1万美元,不过惠普并未详细说明奖金所对应的漏洞类型。如果研究员报告的是此前惠普曾发现的漏洞,那么也会得到一笔“善意付款”。
- 覆盖产品。目前覆盖 HP LaserJet Enterprise 打印机和 MFPs(A3和A4)以及 HP PageWide Enterprise 打印机和 MFPs(A3和A4)。该计划仅覆盖端点设备,和打印机相关的 web 域名不在该计划内,主要关注打印机固件的安全问题。
惠普表示,虽然不久会将该漏洞奖励计划扩展至个人电脑产品线,但目前只关注打印机,原因是人们担心随着打印机技术的进步,打印机将成为恶意人员的目标。
不断增长的打印机漏洞威胁
惠普表示,打印机不仅能够提供对打印机所在网络的访问权限,而且还能暴露敏感文档。
Bugcrowd 最近发布报告称,最近出现最多的攻击者主要关注的是端点设备,而且去年行业内的打印漏洞数量增长了21%。这种威胁趋势也在惠普打印机中有所体现。去年,惠普修复了几十个企业级的打印机机型中的任意代码执行漏洞。也是在去年,研究人员在广受欢迎的打印机机型(包括惠普品牌)中找到6个漏洞,导致攻击者窃取打印任务并执行缓冲溢出攻击。
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
