HP ha inviato agli utenti registrati delle stampanti LaserJet un comunicato nel quale si avvisa di una vulnerabilità che potrebbe essere sfruttata dagli hacker per ottenere l’accesso a circa cinquanta prodotti di questa serie e installare firmware non autorizzati. La rivista PC Mag ha avuto modo di vedere la mail e in questa si afferma che non sono noti casi di utilizzo della vulnerabilità in questione. L’elenco delle LaserJet nelle quali è presente il problema si trova a questo indirizzo.
I dettagli i merito sono pochi, ma il problema era stato già reso noto a novembre dello scorso anno da alcuni ricercatori della Columbia University i quali avevano mostrato com’era teoricamente possibile riprogrammare il firmware delle stesse con codice malevolo e avviare da queste particolari comandi in grado di interagire e infettare i computer connessi in rete e, nel peggiore dei casi, distruggere il fusore (l’unità conclusiva dove il foglio è riscaldato per pochi secondi ad alta temperatura in modo da impressionare il toner sulla carta) costringendolo a rimanere a temperature tali da renderlo inservibile o, peggio, da far incendiare il dispositivo e con esso appiccare il fuoco alla scrivania.
HP aveva all’epoca minimizzato, spiegando che per quanto riguarda il gruppo fusore è impossibile determinare l’incendio della stampante poiché sui modelli di recente produzione è presente uno switch termico che impedisce il verificarsi di questi scenari. L’azienda di Santa Clara sosteneva anche che anche l’attacco al firmware era possibile solo sui modelli più vecchi, venduti prima del 2009: i dispositivi più recenti, infatti, richiedono l’uso di un upgrade firmato digitalmente. I firmware in remoto possono essere modificati e resi pericolosi solo se la stampante è connessa a un router collegato a internet e nell’azienda non è presente un firewall oppure iniettando il codice malevolo da una postazione sulla stessa rete nella quale è presente la stampante.
Sul sito di HP è possibile verificare se e come eventualmente aggiornare il firmware per corregge tale vulnerabilità.