آسیب پذیری نرم افزاری در دستگاه تصویربرداری قلبی عروقی فیلیپس یافت شد

طبق گزارش آژانس امنیتی cve-2018-14787، این یک موضوع مدیریت امتیاز است.در محصولات قلبی عروقی فیلیپس (iscv) (iscv نسخه 2. X یا نسخه قبلی و Xcelera نسخه 4.1 یا قبل)، «حمله‌کنندگان با حقوق ارتقا (از جمله کاربران تأیید شده) می‌توانند به پوشه فایل‌های اجرایی با حقوق نوشتن دسترسی پیدا کنند و سپس کد دلخواه را اجرا کنند. در این اطلاعیه آمده است: «استفاده موفقیت‌آمیز از این آسیب‌پذیری‌ها ممکن است به مهاجمان با حقوق دسترسی محلی و کاربران سرور iscv/Xcelera اجازه دهد مجوزهای سرور را ارتقا داده و کد دلخواه را اجرا کنند».

در این اطلاعیه آمده است که دومین نقطه ضعف اعلام شده در cve-2018-14789 iscv نسخه 3.1 یا قبل از آن و Xcelera نسخه 4.1 یا قبل از آن است، و اشاره کرد که "یک مسیر جستجوی نقل قول نشده یا آسیب پذیری عنصر شناسایی شده است که ممکن است به مهاجمان اجازه اجرای دلخواه را بدهد. کدگذاری کنید و سطح امتیاز آنها را افزایش دهید"

فیلیپس در پاسخ به یک اعلامیه امنیتی گفت که "نتیجه تایید شکایت ارائه شده توسط مشتریان" حدود 20 سرویس ویندوز در سرورهای iscv نسخه 2. X و قبل از آن و Xcelera 3x – 4. X است که فایل اجرایی آن در پوشه ای که مجوز نوشتن به یک کاربر تایید شده اعطا شده است" این سرویس ها به عنوان حساب های مدیر محلی یا حساب های سیستم محلی اجرا می شوند و اگر کاربر یکی از فایل های اجرایی را با برنامه دیگری جایگزین کند، برنامه از امتیازات سرپرست محلی یا سیستم محلی نیز استفاده خواهد کرد. فیلیپس پیشنهاد می کند.همچنین توصیه می‌کند که «در iscv نسخه 3. X و نسخه‌های قبلی و Xcelera 3. X – 4. X، 16 سرویس ویندوز بدون علامت نقل قول در نام مسیرشان وجود دارد» این سرویس‌ها با امتیازات مدیر محلی اجرا می‌شوند و می‌توانند با کلیدهای رجیستری راه‌اندازی شوند. که ممکن است راهی برای قرار دادن فایل های اجرایی که امتیازات مدیر محلی را اعطا می کند، به مهاجم ارائه دهد."