最近打印机用户可能会相当不安心。继微软爆出多个Windows打印多任务缓冲处理器漏洞,本周安全人员再披露一个打印机驱动程序漏洞,可能让攻击者在Windows机器上执行恶意程序。本漏洞影响HP、施乐及三星品牌打印机超过款,HP、施乐呼吁用户应尽快更新驱动程序。
这项漏洞是由SentinelOne研究人员KasifDekel发现。他与该公司团队发现一个年推出的打印机驱动程序SSPORT.SYS存在权限升级漏洞,让没有权限的用户取得系统(System)权限而得以执行任意程序。
技术上,这漏洞源自该驱动程序以IOCTL利用字符串拷贝函数strncpy,从用户输入拷贝字符串时未验证大小的参数值,让用户输入过大值导致驱动程序使用的缓冲遭溢出。结果是攻击者取得系统权限,可在核心模式下执行程序代码,基本上他可以安装程序、读取、删改、加密资料,或是安装具完整权限的用户账号。
研究人员解释,该漏洞危险之处在于Windows用户无法避免。用户只要执行打印机就会自动安装并启动该驱动程序,过程中并不需取得用户同意,也未告知用户。而且每次开机,Windows就会重新加载这款驱动程序。不论用户是USB连接或是无线连接打印机都会加载这有漏洞的驱动程序。
该漏洞以编号CVE--