Lexmark: Hot topics
- Lexmark Drucker: Kritische und hochgefährliche Sicherheitslücke
Lexmark hat eine kritische und eine hochgefährliche Sicherheitslücke in einer Vielzahl seiner Drucker- und Multifunktionsgeräte offengelegt. Beide Schwachstellen, mit den CVSS-Werten 8.8 und 9.3, befinden sich im sogenannten Embedded Solutions Framework (ESF) und ermöglichen es Angreifern potenziell, aus der Ferne beliebigen Schadcode auf den betroffenen Geräten auszuführen. Entsprechende Updates stehen bereit.
Hersteller Lexmark hat eine Sicherheitswarnung herausgegeben. Darin wird vor mehreren Sicherheitslücken in seinem Embedded Solutions Framework (ESF) gewarnt. Die kritische Sicherheitslücke hat den CVSS-Wert 9.3, die hochgefährliche Lücke den Wert 8.8. Die beiden identifizierten Schwachstellen wurden von Sicherheitsforschern der Trend Micro Zero Day Initiative (ZDI) entdeckt und an Lexmark gemeldet.
CVE-2025-65083: Untrusted Search Path – CVSSv4 Score 9.3
Dies ist die kritischere der beiden Lücken. Sie wurde mit einem CVSSv4 Base Score von 9.3 bewertet. Sie hat einen „Untrusted Search Path“. Die Schwachstelle erlaubt es einem Angreifer, den Ladeprozess von Anwendungen oder Bibliotheken zu manipulieren. Durch das Platzieren von schädlichen Dateien in Verzeichnissen, die vom System durchsucht werden, kann der Angreifer die Ausführung seines eigenen Codes erzwingen. Der Bedrohungsvektor sieht folgendermaßen aus: Die Ausnutzung kann über das Netzwerk erfolgen (AV:N), erfordert keine hohen Privilegien (PR:N) und keine Benutzerinteraktion (UI:N). Dies macht die Lücke besonders gefährlich für automatisierte Angriffe.
CVE-2025-65082: Relative Path Traversal – CVSSv4 Score 8.8
Diese hochgefährliche Lücke wurde mit einem CVSSv4 Base Score von 8.8 bewertet und bezieht sich auf das Problem „Relative Path Traversal“. Ein Angreifer kann durch Manipulation von Dateipfaden aus dem vorgesehenen Verzeichnis ausbrechen und auf Dateien oder Befehle zugreifen, die eigentlich gesperrt sein sollten. Auch diese Schwachstelle ermöglicht es einem nicht authentifizierten Benutzer („unprivileged user“), beliebigen Code auszuführen. Der Vektor für die Integritätsverletzung ist hierbei als „Hoch“ eingestuft.
Betroffene Lexmark-Geräte und Modellreihen
Die Liste der betroffenen Geräte ist umfangreich und umfasst Modelle aus fast allen modernen Lexmark-Serien, die das Embedded Solutions Framework nutzen. Dazu gehören laut Lexmark-Support-Seite unter anderem:
- CS/CX-Serie: CS632, CS639, CX532, CX635, CS963, CX833, CX950, CX951, CX96x, CS73x, CX73x, CS943, CX93x, CX94x, CS622, CX522, CX622, CS72x, CX72x, CS92x, CX92x, CS82x, CX82x.
- MS/MX-Serie: MX432, M3250, MS622, MX421, MX521, MX522, MX622, MS82x, MX72x, MX82x, MX953, MS632, MX532, MX632.
- XM/XC-Serie: XM3142, XM1242, XM3250, XM53xx, XM73xx, XM9655, XC23xx, XC8355, XC95xx, XC96xx, XC43xx, XC93xx, XC94xx, XM33xx, XC22xx, XC41xx, XC92xx, XC61xx, XC81xx.
- MB/MC-Serie: MB2442, MB2546, MB2650, MB2770, MC2535, MC2640.
Die genannte Liste könnte natürlich von Lexmark noch weiter angepasst werden. Lexmark hat klargestellt, dass es keine Workarounds gibt. Die einzige wirksame Maßnahme ist das Einspielen einer bereinigten Firmware. Abhängig vom Gerätemodell müssen Administratoren auf Firmware-Versionen aktualisieren, die auf .210 oder .507 (und höher) enden. Das Update kann über das Lexmark-Support-Portal bezogen werden. Weitere Informationen liefert Lexware auch auf seiner Seite Security Advisories.