Fax angreifbar? Heise Meldung vom 14.08.2018

Bezugnehmend auf diesen Artikel: https://www.heise.de/security/meldung/Totale-Kontrolle-Multifunktions-Drucker-ueber-Fax-angreifbar-4135522.html

nachfolgend das offizielle Statement seitens Avaya:

Der Hack von HP Faxgeräten durch Check Point geschah durch das Ausnutzen einer Implementierungsschwachstelle in einem von HP selbstentwickeltem jpeg Parser beim Ausdrucken des empfangenen Dokumentes.

Das Ganze funktioniert(e) nur auf Multifunktionsgeräten von HP die Farbfax unterstützen (Übertragung der Farbfax Dokumente im jpeg Format) und geschah im Drucker (nicht Fax) Teil der HP Firmware.

C3000 ist von diesem Problem nicht betroffen, wir unterstützen zwar auch Farbfax Übertragung via jpeg (nur ISDN via EIcon/Dialogic, XCAPI unterstützt das -noch- nicht), aber beim Empfang schreiben wir entweder die jpeg Daten direkt in ein pdf Dokument (die jpeg Daten werden durch C3000 also nicht dekodiert – auch nicht beim Einfügen von Header/Footer Informationen !), oder nutzen bei Verwendung von tiff Dateien die offizielle libjpeg der IJG (Independent JPEG Group) in Version 9b (zur Farbraumkonvertierung da Farbfaxe im LAB Farbraum abgebildet werden den nur wenige Viewer unterstützen). Die libjpeg der IJG hat in dieser Version derzeit keine bekannten vulnerabilities (seit Januar 2018 gibt es Version 9c die wir zukünftig verwenden werden).