惠普推出全球首个打印机漏洞奖励计划 最高奖金1万美元

聚焦源代码安全,网罗国内外最新资讯!

作者:Eduard Kovacs 和

Lindsey O'Donnell

翻译:360代码卫士团队

刚刚,惠普宣布推出打印机漏洞奖励计划,最高奖励为1万美元。

惠普表示,这是行业内的首个漏洞奖励计划,由惠普和众筹安全平台 Bugcrowd 联合推出。

漏洞奖励计划内容

受邀制。该漏洞奖励计划不对外公开,受邀研究员的主要任务是找到固件级别的漏洞,包括远程代码执行漏洞、跨站请求伪造漏洞和跨站脚本漏洞。目前参与计划的研究员人数为34人。

奖金。奖金范围是500美元至1万美元,不过惠普并未详细说明奖金所对应的漏洞类型。如果研究员报告的是此前惠普曾发现的漏洞,那么也会得到一笔“善意付款”。

覆盖产品。目前覆盖 HP LaserJet Enterprise 打印机和 MFPs(A3和A4)以及 HP PageWide Enterprise 打印机和 MFPs(A3和A4)。该计划仅覆盖端点设备,和打印机相关的 web 域名不在该计划内,主要关注打印机固件的安全问题。

惠普表示,虽然不久会将该漏洞奖励计划扩展至个人电脑产品线,但目前只关注打印机,原因是人们担心随着打印机技术的进步,打印机将成为恶意人员的目标。

不断增长的打印机漏洞威胁

惠普表示,打印机不仅能够提供对打印机所在网络的访问权限,而且还能暴露敏感文档。

Bugcrowd 最近发布报告称,最近出现最多的攻击者主要关注的是端点设备,而且去年行业内的打印漏洞数量增长了21%。这种威胁趋势也在惠普打印机中有所体现。去年,惠普修复了几十个企业级的打印机机型中的任意代码执行漏洞。也是在去年,研究人员在广受欢迎的打印机机型(包括惠普品牌)中找到6个漏洞,导致攻击者窃取打印任务并执行缓冲溢出攻击。

https://www.securityweek.com/hp-launches-bug-bounty-program-printers

https://threatpost.com/hp-offers-up-to-10000-rewards-for-printer-bugs/134567/

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180801B0TS6900?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券