• Tweet

Xerox Corp. esta en revuelo por actualizar un parche de seguridad seguido de un aviso de seguridad en el cual se indicaba que existen fallos de alto riesgo en sus impresoras multifuncionales.

Tomando como ventaja un error de configuración en las impresoras por medio de la interfaz Web que las administra, el investigador de seguridad Brendan O'Connor dijo que era posible ejecutar software no autorizado sobre las impresoras, afectando así el tráfico de red y comprometiendo de esta manera la información sensible que se imprime en este tipo de impresoras. El señor O'Connor compartió detalles por medio de una presentación de como se comprometen las impresoras durante el evento Black Hat en Las Vegas,USA.

“Imaginen todos los datos sensitivos que pasan por este tipo de dispositivos” dijo O’Connor,"Todos imprimen, y existe una confianza inherente en estos tipos de dispositivos".

O'Connor mencionó también que no estaba tratando de "afectar a Xerox," pero utilizando este hacking se puede utilizar como un caso de estudio para poner atención en la creciente amenaza sobre la seguridad de estos poderosos dispositivos.

Por otro lado, Xerox publicó una actualización para dicha vulnerabilidad en Febrero. Esta actualización resuelve el problema para las impresoras Pro Series 200 que fueron vendidas entre el mes de Octubre del 2005 y Junio de este año. Sin embargo esta actualización no resuelve el problema, comento O’Connor. “Mi compañía aún es vulnerable a esto” dijo O’Connor.

Rahgozar (Ejecutivo de Xerox) mencionó que la compañía Xerox ha estado trabajando sobre el problema e ira publicando actualizaciones para corregir la vulnerabilidad, aunado a esto se esta trabajando también en el desarrollo de un sistema de actualizaciones automático para estos productos, que probablemente sea similar al de Microsoft.

O'Connor's mencionó también que estaba un poco preocupado de que Xerox pudiera estar considerando tomar acciones legales en contra de él en la misma forma en la que Cisco Systems las tomó en contra de Michael Lynn en la conferencia del año pasado.

Esos actos (de Cisco), fueron infundados, sin embargo, después de la charla, Rahgozar, agradeció al investigador diciéndole que el sólo estaba haciéndole un servicio a la industria.