פגיעות תוכנה שנמצאה במכשיר ההדמיה הקרדיו-וסקולרי של פיליפס

על פי דו"ח סוכנות הביטחון cve-2018-14787, מדובר בבעיית ניהול הרשאות.במוצרי Intellispace Cardiovascular (iscv) של פיליפס (iscv גרסה 2. X או מוקדמת יותר ו-Xcelera גרסה 4.1 או מוקדמת יותר), "תוקפים עם זכויות שדרוג (כולל משתמשים מאומתים) יכולים לגשת לתיקיית קבצי ההפעלה עם זכויות כתיבה, ולאחר מכן להפעיל קוד שרירותי עם זכויות ניהול מקומיות", נאמר בהודעה, "ניצול מוצלח של פגיעויות אלו עשוי לאפשר לתוקפים עם זכויות גישה מקומיות ולמשתמשים בשרת iscv / Xcelera לשדרג את ההרשאות בשרת ולהפעיל קוד שרירותי".

בהודעה נאמר כי החולשה השנייה שהוכרזה ב-cve-2018-14789 היא iscv גרסה 3.1 או מוקדמת יותר ו-Xcelera גרסה 4.1 או מוקדמת יותר, והצביעה על כך ש"זוהתה נתיב חיפוש או רכיב פגיעות ללא ציטוט, מה שעשוי לאפשר לתוקפים לבצע ביצוע שרירותי לקוד ולשפר את רמת הזכויות שלהם"

בתגובה להודעת אבטחה, פיליפס אמרה כי "התוצאה של אישור התלונה שהוגשה על ידי לקוחות" היא כ-20 שירותי Windows ב-iscv גרסה 2. X וקודמתה ושרתי Xcelera 3x - 4. X, מתוכם קיים קובץ ההפעלה ב תיקייה שקיבלה הרשאת כתיבה למשתמש מאומת“ שירותים אלו פועלים כחשבונות מנהל מקומיים או חשבונות מערכת מקומיים, ואם משתמש מחליף את אחד מקבצי ההפעלה בתוכנית אחרת, התוכנה תשתמש גם בהרשאות מנהל מקומי או מערכת מקומית , "מציע פיליפס.הוא גם ממליץ ש"בגרסה 3. X ומעלה של iscv ו-Xcelera 3. X - 4. X, ישנם 16 שירותי Windows ללא מרכאות בשמות הנתיבים שלהם" שירותים אלה פועלים עם הרשאות מנהל מקומיות וניתן להפעיל אותם עם מפתחות רישום, מה שעשוי לספק לתוקף דרך להציב קבצי הפעלה המעניקים הרשאות מנהל מקומי."


זמן פרסום: 10 בדצמבר 2021