Archiwum wiadomości

Luka w zabezpieczeniach systemu VxWorks – zmodyfikowano 3 października 2019 r.

W systemie VxWorks wykryto 11 luk w zabezpieczeniach, określonych jako „URGENT/11” (od CVE-2019-12255 do CVE-2019-12265). Okazało się, że stos TCP/IP IPnet używany w systemie operacyjnym VxWorks był również używany w innych systemach operacyjnych czasu rzeczywistego, co umożliwiło pojawienie się luk w zabezpieczeniach (CVE-2019-12255, CVE-2019-12262 i CVE-2019-12264) w szerszej gamie produktów.

Niektóre starsze modele europejskie mogą być podatne na tę usterkę, ponieważ ustalono, że wykorzystują zagrożony stos protokołu IPnet TCP/IP:

• i-SENSYS MF4270
• i-SENSYS MF4370dn
• i-SENSYS MF4380dn
• imageRUNNER 2318
• imageRUNNER 2318L
• imageRUNNER 2320
• imageRUNNER 2420
• imageRUNNER 2422

Komunikat o bezpieczeństwie aparatów cyfrowych Canon w kontekście funkcji komunikacji za pośrednictwem protokołu PTP (Picture Transfer Protocol) i funkcji aktualizacji oprogramowania układowego – dodano 6 sierpnia 2019 r.

Dziękujemy za używanie produktów firmy Canon.

Międzynarodowy zespół badaczy zwrócił naszą uwagę na lukę w zabezpieczeniach związaną z komunikacją za pośrednictwem protokołu PTP (Picture Transfer Protocol), który jest używany przez aparaty cyfrowe firmy Canon, a także na lukę w zabezpieczeniach związaną z aktualizacjami oprogramowania układowego.

(CVE-ID:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001)

Z powodu tych luk w zabezpieczeniach istnieje ryzyko ataku na aparat ze strony osób trzecich, jeśli aparat jest podłączony do komputera lub urządzenia przenośnego przejętego za pośrednictwem niezabezpieczonej sieci.

Na tym etapie nie stwierdzono przypadków, w których te luki w zabezpieczeniach mogłyby wyrządzić szkody, ale aby zapewnić naszym klientom bezpieczne korzystanie z naszych produktów, chcielibyśmy poinformować o następujących obejściach tego problemu.

• Należy upewnić się, że ustawienia zabezpieczeń w urządzeniach podłączonych do kamery, takich jak komputer, urządzenie przenośne czy router, są odpowiednie.
• Nie należy podłączać aparatu do komputera lub urządzenia przenośnego, które jest używane w niezabezpieczonej sieci, na przykład w ogólnodostępnej sieci Wi-Fi.
• Nie należy podłączać aparatu do komputerów lub urządzeń przenośnych, które mogą być narażone na infekcje wirusowe.
• Należy wyłączyć funkcje sieciowe aparatu, gdy nie są używane.
• W przypadku aktualizacji oprogramowania układowego aparatu należy pobrać oficjalne oprogramowanie układowe z witryny firmy Canon.

Rośnie liczba komputerów i urządzeń przenośnych używanych w niezabezpieczonych sieciach (bezpłatnych sieciach Wi-Fi), w przypadku których klienci nie mają pojęcia o poziomie zabezpieczeń. Ponieważ przesyłanie obrazów z aparatu do urządzenia przenośnego za pośrednictwem połączenia Wi-Fi staje się powszechne, udostępnimy aktualizacje oprogramowania układowego poniższych modeli wyposażonych w funkcję Wi-Fi.

Omawiane luki dotyczą następujących cyfrowych lustrzanek i aparatów bezlusterkowych z serii EOS:

EOS-1DC*1 *2	EOS 6D Mark II	EOS 760D	EOS M6 Mark II	PowerShot SX740 HS
EOS-1DX*1 *2	EOS 7D Mark II*1	EOS 800D	EOS M10
EOS-1DX MK II*1 *2	EOS 70D	EOS 1300D	EOS M50
EOS 5D Mark III*1	EOS 77D	EOS 2000D	EOS M100
EOS 5D Mark IV	EOS 80D	EOS 4000D	EOS R
EOS 5DS*1	EOS 200D	EOS M3	EOS RP
EOS 5DS R*1	EOS 250D	EOS M5	PowerShot G5X Mark II
EOS 6D	EOS 750D	EOS M6	PowerShot SX70 HS

^*1 W przypadku używania karty Wi-Fi lub bezprzewodowego przekaźnika danych można ustanowić połączenie Wi-Fi.

^*2 Omawiane luki dotyczą także połączeń Ethernet.

Informacje o aktualizacji oprogramowania układowego poszczególnych produktów będą dostarczane po kolei, począwszy od produktów, w przypadku których zakończono przygotowania.

Problem z uwierzytelnianiem w uniFLOW – zaktualizowano 19 marca 2019 r.

Instrukcje dotyczące instalacji tej poprawki znajdują się tutaj. 

Dokładamy starań, aby zapewniać bezpieczne rozwiązania naszym klientom. Przepraszamy za wszelkie niedogodności wynikające z zaistniałej sytuacji. W celu uzyskania dalszych informacji dotyczących tego powiadomienia należy skontaktować się z lokalnym biurem firmy Canon, autoryzowanym sprzedawcą lub przedstawicielem pomocy technicznej firmy Canon. W przypadku zauważenia jakichkolwiek podejrzanych działań należy niezwłocznie zgłosić ten fakt opiekunowi klienta i działowi IT. 

Luka w zabezpieczeniach faksu – dodano 31 sierpnia 2018 r. 

Ostatnio naukowcy poinformowali o wykryciu luki w zabezpieczeniach protokołów komunikacyjnych używanych przez funkcje faksu niektórych produktów. (CVE-ID: CVE-2018-5924, CVE 2018-5925). Informacje na temat wpływu tych luk na produkty firmy Canon wyposażone w funkcje faksu znajdują się poniżej.

Na podstawie naszego rozeznania poniższe produkty nie są zagrożone, ponieważ nie wykorzystują protokołu faksowania w kolorze G3: modele serii imageRUNNER/iR, imageRUNNER ADVANCE, LASER CLASS, imagePRESS, FAXPHONE, GP i imageCLASS/i-SENSYS wyposażone w funkcje faksu.

Produkty serii MAXIFY i PIXMA wyposażone w funkcje faksu wykorzystują protokół faksowania w kolorze G3. Jednak nie wykryto żadnego ryzyka związanego z niebezpiecznym kodem wykonywanym za pośrednictwem obwodu faksu ani zagrożenia dla bezpieczeństwa danych zapisanych na tych urządzeniach.

Będziemy monitorować sytuację i podejmiemy działania niezbędne do zapewnienia bezpieczeństwa naszych urządzeń.

Luki w zabezpieczeniach procesora – Spectre i Meltdown – dodano 8 marca 2018 r.

Ostatnio podano do publicznej wiadomości informacje o lukach w zabezpieczeniach niektórych procesorów Intel, AMD i ARM, które korzystają z przetwarzania predykcyjnego w celu zwiększenia wydajności. Te luki mogą umożliwić osobie atakującej uzyskanie nieupoważnionego dostępu do obszarów prywatnych buforowanej pamięci.

Określono i nazwano dwa warianty luk, które wykorzystują różne techniki do wykorzystania funkcji przetwarzania predykcyjnego w dotkniętych tym problemem procesorach. Są one luki CVE-2017-5715 i CVE-2017-5753: „Spectre” oraz CVE-2017-5754: „Meltdown”.

Luka może dotyczyć poniższych zewnętrznych kontrolerów firmy Canon. Wprawdzie obecnie nie są znane żadne sposoby wykorzystania tych luk, to są przygotowywane środki zaradcze, dzięki którym klienci będą mogli korzystać z naszych produktów bez obaw.

ColorPASS: 
GX300 2.0, GX300 2.1, GX400 1.0, GX500 1.1

imagePASS: 
U1 1.1, U1 1.1.1, U2 1.0 
Y1 1.0, Y2 1.0

Serwer imagePRESS-CR: 
A7000 2.1, A7000 3.0, A7300 1.0, A7500 2.1, A8000 1.1

Serwer imagePRESS: 
A1200 1.0, A1200 1.1, A1300 1.0, A2200 1.0, A2200 1.1, A2300 1.0, A3200 1.0, A3200 1.1, A3300 1.0 
B4000 1.0, B4100 1.0, B5000 1.0, B5100 1.0 
F200 1.21, H300 1.0 
J100 1.21, J200 1.21 
K100 1.0, K200 1.0 
Q2 2.0, Z1 1.0

Omawiane luki mogą dotyczyć poniższych usług firmy Canon. Wprawdzie obecnie nie są znane żadne sposoby wykorzystania tych luk, jednak do końca lutego 2018 r. opracowano środki zaradcze.

MDS Cloud

Wszystkie jedno- i wielofunkcyjne laserowe drukarki firmy Canon i związane z nimi oprogramowanie, z wyjątkiem pozycji wymienionych powyżej, nie są zagrożone tymi lukami w wyniku działania jakiegokolwiek znanego procesu. Klienci nadal mogą korzystać z naszych produktów bez obaw.

Firma Canon nieustannie dba o zapewnienie najwyższego poziomu bezpieczeństwa w przypadku wszystkich swoich produktów i usług. Kwestię bezpieczeństwa danych naszych klientów traktujemy bardzo poważnie, a ich ochrona jest dla nas priorytetem.

Luka w zabezpieczeniach protokołu szyfrowania Wi-Fi WPA2 – dodano 16 stycznia 2018 r. 

Niedawno pewien naukowiec poinformował o luce w zabezpieczeniach znanej jako KRACKs, występującej w standardowym protokole szyfrowania WPA2 sieci Wi-Fi. Ta luka w zabezpieczeniach umożliwia osobie atakującej celowe przechwycenie transmisji bezprzewodowej pomiędzy klientem (terminal wyposażony w funkcję Wi-Fi) i punktem dostępu (np. routerem) w celu wykonania potencjalnie złośliwych działań. Z tego powodu niniejsza luka nie może zostać wykorzystana przez osoby będące poza zasięgiem sygnału Wi-Fi ani osoby w zdalnej lokalizacji i korzystające z połączenia internetowego. 

Jak na razie nie mamy potwierdzonych informacji o tym, że użytkownicy produktów Canon napotkali jakiekolwiek problemy w wyniku tej luki w zabezpieczeniach. Jednak w celu zapewnienia spokoju ducha klientom korzystającym z naszych produktów zalecamy podjęcie następujących środków zapobiegawczych: 
• Należy używać kabla USB lub Ethernet do bezpośredniego łączenia zgodnych urządzeń z siecią. 
• Należy szyfrować dane przesyłane z urządzeń, które umożliwiają konfigurację szyfrowania (TLS/IPSec). 
• Należy używać fizycznych nośników, np. kart SD, ze zgodnymi urządzeniami. 
• Należy korzystać z opcji bezpośredniego połączenia bezprzewodowego i połączenia bezpośredniego w przypadku zgodnych urządzeń.

Ponieważ procedury i zakres dostępnych funkcji zależą od urządzenia, należy zapoznać się z instrukcją obsługi, która zawiera szczegółowe informacje. Zalecamy również podjęcie odpowiednich kroków w przypadku takich urządzeń jak komputery i smartfony. Informacje o odpowiednich środkach w przypadku danego urządzenia można uzyskać od jego producenta.