Philips ürək-damar görüntüləmə cihazında proqram təminatı zəifliyi aşkar edilib

Təhlükəsizlik agentliyinin cve-2018-14787 hesabatına görə, bu, imtiyazların idarə edilməsi məsələsidir.Philips intellispace ürək-damar (iscv) məhsullarında (iscv versiyası 2. X və ya əvvəlki və Xcelera versiyası 4.1 və ya daha əvvəl), “yükseltmə hüququ olan hücumçular (autentifikasiya edilmiş istifadəçilər də daxil olmaqla) yazma hüququ olan icra edilə bilən fayllar qovluğuna daxil ola bilər və sonra ixtiyari kodu icra edə bilər. Yerli inzibati hüquqlarla” elanda deyilir: “Bu boşluqların uğurla istismarı yerli giriş hüquqlarına malik olan təcavüzkarlara və iscv/Xcelera server istifadəçilərinə serverdəki icazələri təkmilləşdirməyə və ixtiyari kodu icra etməyə imkan verə bilər”.

Açıqlamada cve-2018-14789-da elan edilən ikinci zəifliyin iscv 3.1 və ya daha əvvəlki versiya və Xcelera versiyası 4.1 və ya daha əvvəlki versiya olduğu və “təcavüzkarlara özbaşına əməliyyatlar həyata keçirməyə imkan verə biləcək sitatsız axtarış yolu və ya element zəifliyinin müəyyən edildiyi” vurğulanıb. kodlaşdırın və imtiyaz səviyyəsini artırın"

Təhlükəsizlik elanına cavab olaraq Philips bildirdi ki, “müştərilər tərəfindən təqdim olunan şikayətin təsdiqlənməsinin nəticəsi” iscv 2. X və daha əvvəlki versiyalarda və Xcelera 3x – 4. X serverlərində icra olunan faylın mövcud olduğu təxminən 20 Windows xidmətidir. autentifikasiya edilmiş istifadəçiyə yazmaq icazəsi verilmiş qovluq" Bu xidmətlər yerli idarəçi hesabları və ya yerli sistem hesabları kimi işləyir və istifadəçi icra olunan fayllardan birini başqa proqramla əvəz edərsə, proqram həmçinin yerli administrator və ya yerli sistem imtiyazlarından istifadə edəcək. , “Filips təklif edir.O, həmçinin tövsiyə edir ki, “iscv 3. X və əvvəlki versiyalarda və Xcelera 3. X – 4. X-də yol adlarında dırnaq işarəsi olmayan 16 windows xidməti var” Bu xidmətlər yerli administrator imtiyazları ilə işləyir və registr açarları ilə işə salına bilər, Bu, təcavüzkarı yerli administrator imtiyazları verən icra edilə bilən faylları yerləşdirmək yolu ilə təmin edə bilər."


Göndərmə vaxtı: 10 dekabr 2021-ci il