Kerentanan perisian ditemui dalam peranti pengimejan kardiovaskular Philips

Menurut laporan agensi keselamatan cve-2018-14787, ia adalah isu pengurusan keistimewaan.Dalam produk kardiovaskular (iscv) intellispace Philips (iscv versi 2. X atau lebih awal dan Xcelera versi 4.1 atau lebih awal), "penyerang dengan hak naik taraf (termasuk pengguna yang disahkan) boleh mengakses folder fail boleh laku dengan hak tulis, dan kemudian melaksanakan kod sewenang-wenangnya dengan hak pentadbiran tempatan," kata pengumuman itu, "Eksploitasi yang berjaya terhadap kelemahan ini mungkin membenarkan penyerang dengan hak akses tempatan dan pengguna pelayan iscv / Xcelera untuk menaik taraf kebenaran pada pelayan dan melaksanakan kod sewenang-wenangnya"

Pengumuman itu mengatakan bahawa kelemahan kedua yang diumumkan dalam cve-2018-14789 ialah iscv versi 3.1 atau lebih awal dan Xcelera versi 4.1 atau lebih awal, dan menunjukkan bahawa "laluan carian yang tidak disebut petikan atau kelemahan elemen telah dikenal pasti, yang mungkin membenarkan penyerang untuk melaksanakan sewenang-wenangnya. kod dan tingkatkan tahap keistimewaan mereka“

Sebagai tindak balas kepada pengumuman keselamatan, Philips berkata bahawa "hasil pengesahan aduan yang dikemukakan oleh pelanggan" ialah kira-kira 20 perkhidmatan windows pada iscv versi 2. X dan lebih awal dan pelayan Xcelera 3x – 4. X, yang mana fail boleh laku wujud dalam folder yang telah diberikan kebenaran menulis kepada pengguna yang disahkan" Perkhidmatan ini dijalankan sebagai akaun pentadbir tempatan atau akaun sistem setempat, dan jika pengguna menggantikan salah satu fail boleh laku dengan program lain, program itu juga akan menggunakan pentadbir tempatan atau keistimewaan sistem setempat , “Philips mencadangkan.Ia juga mengesyorkan bahawa "dalam iscv versi 3. X dan lebih awal dan Xcelera 3. X - 4. X, terdapat 16 perkhidmatan tingkap tanpa tanda petikan dalam nama laluan mereka" Perkhidmatan ini dijalankan dengan keistimewaan pentadbir tempatan dan boleh dimulakan dengan kunci pendaftaran, yang mungkin memberikan penyerang cara untuk meletakkan fail boleh laku yang memberikan keistimewaan pentadbir tempatan.“


Masa siaran: Dis-10-2021