Chez les trois fabricants, une brèche datant de 2005 a fait surface, comme le rapporte Hacker News. Elle se trouve dans le pilote SSPORT.SYS. Elle est plutôt gênante puisqu’elle peut conduire à une élévation des privilèges et à l’exécution de code arbitraire.
Des correctifs ont été mis en ligne (pensez à installer les mises à jour) mais aucune trace ne laisse supposer que cette faille était activement exploitée. Chez Microsoft, c’est une nouvelle fois le spooler d’impression qui fait parler de lui.
C’était le second cauchemar en quelques jours : « Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec des privilèges SYSTÈME. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, créer des comptes dotés de tous les privilèges ».
Si ce n’est pas encore fait, il est temps d’installer les dernières mises à jour.
Commentaires (6)
#1
C’est une catastrophe les MAJ des imprimantes, quand je vois que la mienne, une Brother payée 300 balles en 2015 n’est plus mise à jour depuis 2016, on se dit que le suivi n’est clairement pas sérieux.
#1.1
Moi, ce qui me fait le plus rigoler, c’est qu’HP a lancé une grosse campagne de pub au Royaume-Uni mettant l’accent sur la sécurisation de leurs imprimantes. De mon point de vue, c’est bien qu’ils commencent à se bouger, mais il y a quand même un sacré retard à rattraper !
Mais c’est clair que, quand on à l’habitude du n’importe-quoi avec le suivi des imprimantes, ça ne nous donne pas du tout envie d’aller voir du côté des petits objets IoT à la mords-moi le nœud sans support logiciel…
#2
Et un petit PrintNigthmare “as a service” …
Plus besoin d’installer un pilote sur l’ordi, il suffit de connecter une imprimante “via le net” …
https://twitter.com/gentilkiwi/status/1420069224106577927
C’est violant !
#2.1
C’est complètement hallucinant.
#3
Quel rapport entre cette faille et un viol ?
#3.1
Aucun rapport …
Juste me cerveau qui a mal orthographié le terme “violent” (l’adjectif, à ne pas confondre avec “violent”, 3e pers du pluriel du verbe violer au présent de l’indicatif …)
J’ai donc utilisé le participe présent du verbe par erreur 😅