Ejecución remota de código en impresoras multifunción Xerox


Se ha encontrado una vulnerabilidad en el controlador de red/ESS de las impresoras multifunción WorkCentre de Xerox que podría ser explotada por un atacante de la red local para ejecutar código arbitrario en la impresora.





La vulnerabilidad está causada por un desbordamiento de búfer en Samba al manejar respuestas SMB (Service Message Block) remotas. Esto podría ser aprovechado por un atacante de la red local para tomar el control de la impresora.

Samba es una implementación Unix "Open Source" del protocolo SMB/NetBIOS, utilizada para la compartición de archivos e impresora en entornos Windows. Gracias a este programa, se puede lograr que máquinas Unix y Windows convivan amigablemente en una red local, compartiendo recursos comunes.

Si un atacante consigue tomar el control de una impresora podría cambiar la configuración de la misma; pero además podría conseguir cierta información sensible, ya que tendría acceso a la memoria del dispositivo donde residen aquellos documentos copiados o imprimidos recientemente. Esto podría suponer un riesgo a tener en cuenta sobre todo en entornos corporativos.

La vulnerabilidad está confirmada para las siguientes versiones de
impresoras multifunción: Xerox WorkCentre: 232, 238, 245, 255, 265, 275, 7655, 7665, 7675, 5623, 5635, 5645, 5655, 5665, 5675 y 5687. Xerox WorkCentre Pro: 232, 238, 245, 255, 265 y 275.

El fabricante recomienda consultar la tabla de versiones vulnerables (disponible en el boletín de seguridad) y aplicar el parche P36v1, disponible para su descarga desde:
http://www.xerox.com/downloads/usa/en/c/cert_P36v1_WCP275_WC7675_WC5687_Patch.zip

 

Más Información:

Xerox Security Bulletin XRX08-009:
Software update to address Network Controller vulnerability
http://www.xerox.com/downloads/usa/en/c/cert_XRX08_009.pdf

Fuente:
Pablo Molina
hispasec.com



Otras noticias de interés:

Wine 0.9.54, disponible con soporte para Photoshop CS2
Nueva versión para el excelente traductor entre el API de Windows y los sistemas operativos basados en UNIX. ...
Un informe de Symantec afirma que la pila de protocolos de red de Windows Vista contiene numerosos bugs
Dicha conclusión se basa en el hecho de que la pila de protocolos de red ha sido rescrita desde cero y no evolucionada a partir de la pila ya existente en anteriores versiones de Windows, en la cual ya se habían parcheado numerosos fallos....
El 99,2% de los virus son para Windows
Seguimos con la ofensiva de los informes de las empresas de seguridad sobre las tendencias del cibercrimen. En este caso las conclusiones vienen de la empresa alemana G DATA, que nos avisa de que lo peor está por llegar. Valgan un par de datos: el n...
Mozilla lanza Firefox 3.5 mejorando la navegación
La nueva versión incorpora importantes mejoras de rendimiento, nuevas características de privacidad, compatibilidad con los nuevos estándares Web y muchas más opciones de personalización...
¿Cuántas aplicaciones instaladas en tu smarphones usas realmente?
Para muchos la principal razón para utilizar un smartphone son las aplicaciones, pero realmente, ¿cuántas de las aplicaciones instaladas en los smartphones utilizamos realmente? Si hago una revisión de todo lo que tengo dentro del teléfono y lue...
Adobe confirma su segundo fallo crítico 0-DAY
Por segunda vez en cuatro semanas Adobe ha anunciado que los hackers están explotando una vulnerabilidad no parcheada en Flash Player, para lo cual introducen código malicioso en documentos de Microsoft Word enviados como un documento adjunto en un...
El uso de BI open source se duplicará anualmente, según Gartner
La adopción de software de inteligencia de negocio (BI- Business Intelligence) open source se duplicará cada año debido a que tales productos son ya considerados por las empresas como lo suficientemente buenos para aplicaciones rutinarias, según ...
Hacker descubre vulnerabilidad en Google Glass
Jay Freeman, conocido por ser el creador de la tienda de aplicaciones Cydia para iPhone con Jailbreak, ha descubierto una enorme falla de seguridad en las Google Glass edición Explorer. Dicha falla es tan grave y alarmante que el descuido de dejar t...
Mozilla desarrolla su Wiki
Desarrollar su propia enciclopedia, es la finalidad de Mozilla al basar sus contenidos en en los navegadores de Firefox, por tal motivo se crea la “Wiki de Mozilla” (en Alfa) desarrollada de forma colaborativa por usuarios que escriben artículos...
Larry Lessig dice que la ley está ahogando la creatividad
Lawrence Lessig es el fundador de Creative Commons, además de abogado y un excelente orador. Y en los 18 minutos que dura el video, explica tan claro, y con tanto entusiasmo, las ideas más importantes respecto al copyright, y la necesidad de reestr...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • codigo
  • computer
  • debian
  • ejecucion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • impresoras
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • multifuncion
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • remota
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xerox
  • xfce
  • xombra