Darganfuwyd bregusrwydd meddalwedd yn nyfais delweddu cardiofasgwlaidd Philips

Yn ôl adroddiad yr asiantaeth ddiogelwch cve-2018-14787, mae'n fater rheoli braint.Yng nghynhyrchion intellispace cardiofasgwlaidd (iscv) Philips (iscv fersiwn 2. X neu gynharach a Xcelera fersiwn 4.1 neu gynharach), “gall ymosodwyr â hawliau uwchraddio (gan gynnwys defnyddwyr dilys) gael mynediad i'r ffolder o ffeiliau gweithredadwy gyda hawliau ysgrifennu, ac yna gweithredu cod mympwyol gyda hawliau gweinyddol lleol," meddai'r cyhoeddiad, "Gall ecsbloetio'r gwendidau hyn yn llwyddiannus ganiatáu i ymosodwyr â hawliau mynediad lleol a defnyddwyr gweinydd iscv / Xcelera uwchraddio'r caniatâd ar y gweinydd a gweithredu cod mympwyol"

Dywedodd y cyhoeddiad mai'r ail wendid a gyhoeddwyd yn cve-2018-14789 yw iscv fersiwn 3.1 neu gynharach a Xcelera fersiwn 4.1 neu gynharach, a nododd fod “llwybr chwilio heb ei ddyfynnu neu wendid elfen wedi'i nodi, a allai ganiatáu i ymosodwyr weithredu'n fympwyol. codio a gwella lefel eu braint"

Mewn ymateb i gyhoeddiad diogelwch, dywedodd Philips fod "canlyniad cadarnhau'r gŵyn a gyflwynwyd gan gwsmeriaid" yn ymwneud ag 20 o wasanaethau ffenestri ar iscv fersiwn 2. X a chynt a gweinyddwyr Xcelera 3x - 4. X, y mae'r ffeil gweithredadwy yn bodoli ynddynt ffolder sydd wedi cael caniatâd ysgrifennu i ddefnyddiwr dilys" Mae'r gwasanaethau hyn yn rhedeg fel cyfrifon gweinyddwr lleol neu gyfrifon system leol, ac os yw defnyddiwr yn disodli un o'r ffeiliau gweithredadwy gyda rhaglen arall, bydd y rhaglen hefyd yn defnyddio gweinyddwr lleol neu freintiau system leol , “Mae Philips yn awgrymu.Mae hefyd yn argymell “yn iscv fersiwn 3. X ac yn gynharach a Xcelera 3. X – 4. X, mae yna 16 o wasanaethau ffenestri heb ddyfynodau yn eu henwau llwybro“ Mae'r gwasanaethau hyn yn rhedeg gyda breintiau gweinyddwr lleol a gellir eu cychwyn gydag allweddi cofrestrfa, a all roi ffordd i ymosodwr osod ffeiliau gweithredadwy sy'n rhoi breintiau gweinyddwr lleol.“


Amser postio: Rhagfyr-10-2021