Canon-Druckertreiber: Kritischer Out-of-Bounds-Fehler ermöglicht Remote Codeausführung

Am 28. März 2025 hat Canon Inc. bekanntgegeben, dass in bestimmten Druckertreibern für Produktionsdrucker, Office-/Small Office-Multifunktionsdrucker sowie Laserdrucker ein schwerwiegender Out-of-Bounds-Fehler entdeckt wurde. Die betroffenen Treiberversionen – Generic Plus PCL6, Generic Plus UFR II, Generic Plus LIPS4, Generic Plus LIPSLX und Generic Plus PS in Version 3.12 und früher – enthalten eine Lücke in der EMF Recode Verarbeitung, die es einem Angreifer ermöglichen kann, entweder den Druckvorgang zu stören oder, noch gefährlicher, beliebigen Code auszuführen.

Diese Schwachstelle, klassifiziert als CVE-2025-1268 mit einem kritischen CVSS-Score von 9.4, ist besonders gefährlich, da sie remote ausnutzbar ist und ohne Authentifizierung erfolgt. Ein erfolgreicher Angriff könnte es ermöglichen, dass schädliche Software in das System eingeschleust wird, wodurch Daten kompromittiert oder komplette Systeme kontrolliert werden können. Neben der potenziellen Ausnutzung zur Durchführung von Denial-of-Service-Attacken (Verhinderung von Druckvorgängen) besteht auch das Risiko, dass Angreifer sensible Informationen stehlen oder sogar weitergehende Manipulationen im Netzwerk vornehmen.

Canon empfiehlt dringend, auf die aktualisierten Druckertreiber umzusteigen, die in Kürze über die Webseiten der lokalen Canon-Vertriebspartner verfügbar gemacht werden. Kunden sollten deshalb zeitnah die neuesten Treiberversionen installieren, um sich vor möglichen Angriffen zu schützen.

Related Posts

Ghostscript 10.05.0 fixt mehrere kritische Sicherheitslücken

Am 12. März 2025 hat Artifex Software die neue Version Ghostscript 10.05.0 veröffentlicht. Neben funktionalen Verbesserungen behebt das Update gleich acht schwerwiegende Sicherheitslücken (CVE-2025-27830 bis CVE-2025-27837), von denen mehrere als kritisch eingestuft werden. Nutzer*innen von Ghostscript werden dringend aufgefordert, zeitnah auf die neueste Version zu aktualisieren. Alle Schwachstellen basieren auf klassischen Pufferüberläufen (CWE-120), mit Ausnahme von CVE-2025-27837, der ein Path Traversal-Problem (CWE-22) darstellt. Angreifer könnten mit präparierten Eingaben Code ausführen oder auf unautorisierte Dateien zugreifen.

Read More

Kritische Kubernetes-Schwachstelle im Ingress NGINX Controller ermöglicht Clusterübernahme

Am 24. März 2025 wurden mehrere Schwachstellen im weit verbreiteten Ingress NGINX Controller für Kubernetes veröffentlicht – darunter die kritische Lücke CVE-2025-1974, die mit einem CVSS-Score von 9.8 bewertet wird. Insgesamt sind fünf Schwachstellen betroffen, von denen vier die Remote Code Execution (RCE) ermöglichen. Sie betreffen vor allem Installationen, bei denen der Validating Admission Controller öffentlich erreichbar ist oder auf anderem Weg kompromittiert werden kann.

Read More

Spring Security – Autorisierungs-Bypass durch fehlerhafte Annotationserkennung (CVE-2025-22223)

Am 19. März 2025 wurde eine mittelschwere Sicherheitslücke (CVE-2025-22223, CVSS 5.3) in Spring Security veröffentlicht. Die Lücke betrifft Anwendungen, die @EnableMethodSecurity nutzen und Methoden mit Sicherheitsannotationen auf parametrisierten Typen oder geerbten Methoden versehen haben – ohne direkte Annotation auf der Zielmethode. In diesem Fall kann es zu einem Autorisierungs-Bypass kommen. Betroffen ist Spring Security 6.4.0 – 6.4.3. Ein Update auf 6.4.4 wird empfohlen.

Read More