ഫിലിപ്‌സ് കാർഡിയോവാസ്‌കുലർ ഇമേജിംഗ് ഉപകരണത്തിൽ സോഫ്‌റ്റ്‌വെയർ ദുർബലത കണ്ടെത്തി

സെക്യൂരിറ്റി ഏജൻസി റിപ്പോർട്ട് cve-2018-14787 അനുസരിച്ച്, ഇത് ഒരു പ്രിവിലേജ് മാനേജ്മെന്റ് പ്രശ്നമാണ്.ഫിലിപ്‌സിന്റെ ഇന്റലിസ്‌പേസ് കാർഡിയോവാസ്‌കുലാർ (iscv) ഉൽപ്പന്നങ്ങളിൽ (iscv പതിപ്പ് 2. X അല്ലെങ്കിൽ അതിന് മുമ്പുള്ളതും Xcelera പതിപ്പ് 4.1 അല്ലെങ്കിൽ അതിന് മുമ്പും), “അപ്‌ഗ്രേഡ് അവകാശങ്ങളുള്ള (ആധികാരിക ഉപയോക്താക്കൾ ഉൾപ്പെടെ) ആക്രമണകാരികൾക്ക് റൈറ്റ് റൈറ്റ്‌സുള്ള എക്‌സിക്യൂട്ടബിൾ ഫയലുകളുടെ ഫോൾഡറിലേക്ക് ആക്‌സസ് ചെയ്യാനും തുടർന്ന് അനിയന്ത്രിതമായ കോഡ് എക്‌സിക്യൂട്ട് ചെയ്യാനും കഴിയും. പ്രാദേശിക അഡ്മിനിസ്ട്രേറ്റീവ് അവകാശങ്ങളോടെ,” അറിയിപ്പ് പറയുന്നു, “ഈ കേടുപാടുകൾ വിജയകരമായി ചൂഷണം ചെയ്യുന്നത്, പ്രാദേശിക ആക്‌സസ് അവകാശങ്ങളുള്ള ആക്രമണകാരികളെയും iscv / Xcelera സെർവറിന്റെ ഉപയോക്താക്കളെയും സെർവറിലെ അനുമതികൾ അപ്‌ഗ്രേഡുചെയ്യാനും അനിയന്ത്രിതമായ കോഡ് നടപ്പിലാക്കാനും അനുവദിച്ചേക്കാം”

cve-2018-14789-ൽ പ്രഖ്യാപിച്ച രണ്ടാമത്തെ ബലഹീനത iscv പതിപ്പ് 3.1 അല്ലെങ്കിൽ അതിന് മുമ്പുള്ളതും Xcelera പതിപ്പ് 4.1 അല്ലെങ്കിൽ അതിന് മുമ്പുള്ളതും ആണെന്ന് അറിയിപ്പ് പറഞ്ഞു, കൂടാതെ “ഉദ്ധരിക്കാത്ത തിരയൽ പാതയോ മൂലകങ്ങളുടെ കേടുപാടുകൾ കണ്ടെത്തിയിട്ടുണ്ട്, ഇത് ആക്രമണകാരികളെ ഏകപക്ഷീയമായി നടപ്പിലാക്കാൻ അനുവദിച്ചേക്കാം. കോഡ് ചെയ്ത് അവരുടെ പ്രിവിലേജ് ലെവൽ വർദ്ധിപ്പിക്കുക"

ഒരു സുരക്ഷാ അറിയിപ്പിന് മറുപടിയായി, ഫിലിപ്സ് പറഞ്ഞു, "ഉപഭോക്താക്കൾ സമർപ്പിച്ച പരാതി സ്ഥിരീകരിക്കുന്നതിന്റെ ഫലം" iscv പതിപ്പ് 2. X-ലും അതിനുമുമ്പും ഉള്ള 20 വിൻഡോസ് സേവനങ്ങളും എക്സിക്യൂട്ടബിൾ ഫയൽ നിലനിൽക്കുന്ന Xcelera 3x - 4. X സെർവറുകളും ഒരു ആധികാരിക ഉപയോക്താവിന് എഴുതാനുള്ള അനുമതി ലഭിച്ച ഒരു ഫോൾഡർ" ഈ സേവനങ്ങൾ ലോക്കൽ അഡ്മിനിസ്ട്രേറ്റർ അക്കൗണ്ടുകളോ ലോക്കൽ സിസ്റ്റം അക്കൗണ്ടുകളോ ആയി പ്രവർത്തിക്കുന്നു, കൂടാതെ ഒരു ഉപയോക്താവ് എക്സിക്യൂട്ടബിൾ ഫയലുകളിലൊന്ന് മറ്റൊരു പ്രോഗ്രാം ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുകയാണെങ്കിൽ, പ്രോഗ്രാം പ്രാദേശിക അഡ്മിനിസ്ട്രേറ്ററോ പ്രാദേശിക സിസ്റ്റം പ്രത്യേകാവകാശങ്ങളോ ഉപയോഗിക്കും. , "ഫിലിപ്സ് നിർദ്ദേശിക്കുന്നു."iscv പതിപ്പ് 3. X-ലും അതിന് മുമ്പുള്ളവയിലും Xcelera 3. X - 4. X-ലും, അവയുടെ പാത്ത് നെയിമുകളിൽ ഉദ്ധരണി അടയാളങ്ങളില്ലാതെ 16 വിൻഡോസ് സേവനങ്ങളുണ്ട്" ഈ സേവനങ്ങൾ പ്രാദേശിക അഡ്മിനിസ്ട്രേറ്റർ പ്രത്യേകാവകാശങ്ങളോടെ പ്രവർത്തിക്കുന്നു, കൂടാതെ രജിസ്ട്രി കീകൾ ഉപയോഗിച്ച് ആരംഭിക്കാനും ഇത് ശുപാർശ ചെയ്യുന്നു, ലോക്കൽ അഡ്‌മിനിസ്‌ട്രേറ്റർ പ്രത്യേകാവകാശങ്ങൾ നൽകുന്ന എക്‌സിക്യൂട്ടബിൾ ഫയലുകൾ സ്ഥാപിക്കുന്നതിനുള്ള മാർഗം ഒരു ആക്രമണകാരിക്ക് നൽകിയേക്കാം."


പോസ്റ്റ് സമയം: ഡിസംബർ-10-2021