Philips kardiobaskularrak irudikatzeko gailuan aurkitutako software ahultasuna

cve-2018-14787 segurtasun agentziaren txostenaren arabera, pribilegioen kudeaketa arazoa da.Philips-en intellispace kardiobaskularrak (iscv) produktuetan (iscv 2. X bertsioa edo lehenagokoa eta Xcelera 4.1 bertsioa edo lehenagokoa), "berritze-eskubideak dituzten erasotzaileek (autentikatutako erabiltzaileak barne) fitxategi exekutagarrien karpetara sar daitezke idazketa-eskubideak dituztenak, eta, ondoren, kode arbitrarioa exekutatu. tokiko administrazio-eskubideekin", zioen iragarkiak: "Ahultasun hauek arrakastaz ustiatzeak tokiko sarbide-eskubideak dituzten erasotzaileek eta iscv / Xcelera zerbitzariaren erabiltzaileek zerbitzariko baimenak berritu eta kode arbitrarioa exekutatzeko aukera izan dezakete".

Iragarkiak esan zuen cve-2018-14789-n iragarritako bigarren ahultasuna iscv 3.1 bertsioa edo lehenagokoa eta Xcelera 4.1 bertsioa edo lehenagokoa dela, eta adierazi zuen "komarik gabeko bilaketa-bide edo elementu ahultasun bat identifikatu dela, eta horrek erasotzaileek modu arbitrarioan exekutatzeko aukera izan dezakete. kodetu eta haien pribilegio maila hobetu"

Segurtasun-iragarpen bati erantzunez, Philipsek esan zuen "bezeroek aurkeztutako kexa baieztatzearen emaitza" iscv 2. X eta aurreko bertsioan eta Xcelera 3x - 4. X zerbitzarietan Windows-eko 20 zerbitzu inguru direla, eta horietako fitxategi exekutagarrian dago. autentifikatutako erabiltzaile bati idazteko baimena eman zaion karpeta bat" Zerbitzu hauek tokiko administratzaile kontu edo sistema lokaleko kontu gisa exekutatzen dira, eta erabiltzaileak fitxategi exekutagarrietako bat beste programa batekin ordezkatzen badu, programak tokiko administratzaile edo sistema lokaleko pribilegioak ere erabiliko ditu. , "Philipsek iradokitzen du.Era berean, gomendatzen du "iscv 3. X eta aurreko bertsioan eta Xcelera 3. X - 4. X-n, bide-izenetan komatxorik gabeko 16 leiho zerbitzu daudela" Zerbitzu hauek tokiko administratzaile pribilegioekin exekutatzen dira eta erregistroko gakoekin abiarazi daitezke, eta horrek tokiko administratzaile pribilegioak ematen dizkioten fitxategi exekutagarriak jartzeko modua eskain diezaioke erasotzaile bati.“


Argitalpenaren ordua: 2021-12-10