惠普發布產品安全公告，通告多個高危漏洞

3月21日，惠普發布了兩個安全公告，稱旗下某些打印產品和數字發送產品中存在高危安全漏洞，這些漏洞由趨勢科技的Zero Day Initiative團隊報告，LaserJet Pro、Pagewide Pro、OfficeJet、Enterprise、Large Format 和 DeskJet 等數百種打印機型號受到影響。

第一份安全公告通告的是一個緩沖區溢出漏洞（CVE-2022-3942，CVSS評分8.4），該漏洞導致某些惠普打印產品和數字發送產品面臨使用鏈路本地多播名稱解析（LLMNR） 時潛在的遠程代碼執行和緩沖區溢出的風險。

惠普已發布適用于大多數受影響產品的固件安全更新。對于部分沒有修補程序的型號，惠普提供的緩解措施主要是在網絡設置中禁用 LLMNR（鏈路本地多播名稱解析）。

具體步驟參照：

https://support.hp.com/us-en/document/ish_5887902-5883859-16

或：

https://support.hp.com/us-en/document/ish_5867854-5867907-16

第二份安全公告通告了三個漏洞，類型分別是信息泄露、拒絕服務、緩沖區溢出，為其分配的CVE ID為CVE-2022-24292（CVSS評分9.8）、 CVE-2022-24293（CVSS評分9.8））和CVE-2022-24291（CVE評分7.5）。

這些漏洞導致某些惠普打印設備可能容易受到潛在的信息泄露、拒絕服務和遠程代碼執行的影響。

惠普已通過為受影響的型號發布打印機固件安全更新解決了此問題。受影響的用戶可以訪問惠普的官方軟件和驅動程序下載門戶（https://support.hp.com/us-en/drivers），找到相應的設備型號，然后安裝最新的可用固件版本。

雖然惠普沒有在公告中公布更多關于這些漏洞的細節，但遠程代碼執行和信息泄露的影響通常是深遠且可怕的，最好多加小心。

資訊來源：HP Customer Support - Knowledge Base

轉載請注明出處和本文鏈接

每日漲知識

網絡釣魚

攻擊者利用欺騙性的電子郵件或偽造的Web站點等來進行網絡詐騙活動。

詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息或郵件賬號口令。

受害者往往會泄露自己的郵箱、私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。