უსაფრთხოების სააგენტოს ანგარიშის cve-2018-14787 თანახმად, ეს არის პრივილეგიების მართვის საკითხი.Philips-ის გულსისხლძარღვთა (iscv) ინტელექტუალურ პროდუქტებში (iscv ვერსია 2. X ან უფრო ადრე და Xcelera ვერსია 4.1 ან უფრო ადრე), „განახლების უფლებების მქონე თავდამსხმელებს (დამოწმებული მომხმარებლების ჩათვლით) შეუძლიათ წვდომა შეასრულონ ფაილების საქაღალდეში ჩაწერის უფლებებით და შემდეგ შეასრულონ თვითნებური კოდი. ადგილობრივი ადმინისტრაციული უფლებებით,” ნათქვამია განცხადებაში, ”ამ დაუცველობის წარმატებულმა ექსპლუატაციამ შეიძლება მისცეს თავდამსხმელებს ადგილობრივი წვდომის უფლებებით და iscv/Xcelera სერვერის მომხმარებლებს განაახლონ ნებართვები სერვერზე და შეასრულონ თვითნებური კოდი”.
განცხადებაში ნათქვამია, რომ cve-2018-14789-ში გამოცხადებული მეორე სისუსტე არის iscv ვერსია 3.1 ან უფრო ადრე და Xcelera ვერსია 4.1 ან უფრო ადრე, და აღნიშნულია, რომ „იდენტიფიცირებულია არაციტირებული საძიებო ბილიკი ან ელემენტის დაუცველობა, რომელიც შეიძლება თავდამსხმელებს თვითნებურად განახორციელონ. კოდირება და გაზარდეთ მათი პრივილეგიების დონე“
უსაფრთხოების განცხადების საპასუხოდ, Philips-მა თქვა, რომ „მომხმარებლების მიერ წარდგენილი საჩივრის დადასტურების შედეგი“ არის დაახლოებით 20 windows სერვისი iscv ვერსია 2. X და უფრო ადრე და Xcelera 3x – 4. X სერვერებზე, რომელთაგან შესრულებადი ფაილი არსებობს საქაღალდე, რომელსაც მინიჭებული აქვს ავტორიზებული მომხმარებლისთვის ჩაწერის ნებართვა“ ეს სერვისები მუშაობს როგორც ადგილობრივი ადმინისტრატორის ანგარიშები ან ადგილობრივი სისტემის ანგარიშები და თუ მომხმარებელი შეცვლის ერთ-ერთ შესრულებად ფაილს სხვა პროგრამით, პროგრამა ასევე გამოიყენებს ადგილობრივ ადმინისტრატორის ან ადგილობრივი სისტემის პრივილეგიებს , “ ვარაუდობს ფილიპსი.ის ასევე გირჩევთ, რომ „iscv 3. X და უფრო ადრე ვერსიაში და Xcelera 3. X – 4. X არის 16 windows სერვისი ბრჭყალების გარეშე მათ ბილიკებში“ ეს სერვისები მუშაობს ადგილობრივი ადმინისტრატორის პრივილეგიებით და შეიძლება დაიწყოს რეესტრის გასაღებებით. რომელსაც შეუძლია თავდამსხმელს საშუალება მისცეს განათავსოს შესრულებადი ფაილები, რომლებიც ანიჭებენ ადგილობრივ ადმინისტრატორის პრივილეგიებს."
გამოქვეყნების დრო: დეკ-10-2021