Due giorni fa, due ricercatori della Columbia University hanno scoperto una vulnerabilità nella funzionalità di aggiornamento automatico del firmware nelle stampanti HP LaserJet. Poche ore dopo, l’azienda ha confermato la presenza del bug e annunciato il rilascio di un update che dovrebbe ridurre il rischio di accessi non autorizzati alla rete aziendale.
La vulnerabilità potrebbe teoricamente consentire ad un malintenzionato di installare un firmware modificato e di prendere il controllo della stampante per sottrarre informazioni riservate o per provocare un surriscaldamento della periferica. Proprio su quest’ultimo punto, HP ha pubblicato una precisazione, bollando come imprecise le affermazioni contenute nell’articolo di MSNBC.
Innanzitutto, secondo il produttore statunitense, si tratta solo di un rischio potenziale, in quanto nessun utente ha segnalato accessi non autorizzati al proprio PC. La speculazione su un ipotetico incendio che potrebbe essere provocato dalla modifica del firmware è falsa:
Le stampanti HP LaserJet integrano un componente hardware denominato “thermal breaker”, progettato per prevenire il surriscaldamento del fusore, che non può essere disattivato da un aggiornamento firmware.
La vulnerabilità può essere sfruttata solo se le stampanti sono collegate ad Internet senza firewall, mentre all’interno di una rete locale ciò può avvenire solo quando si utilizzano computer Linux e Mac. HP distribuirà un nuovo firmware nei prossimi giorni; nel frattempo, consiglia di utilizzare un firewall ed eventualmente disattivare il Remote Firmware Update.