Vulnerabilità tas-softwer misjuba fl-apparat tal-immaġini kardjovaskulari Philips

Skont ir-rapport tal-aġenzija tas-sigurtà cve-2018-14787, hija kwistjoni ta 'ġestjoni tal-privileġġ.Fil-prodotti intellispace kardjovaskulari (iscv) ta’ Philips (iscv verżjoni 2. X jew preċedenti u Xcelera verżjoni 4.1 jew preċedenti), “attakkanti bi drittijiet ta’ upgrade (inklużi utenti awtentikati) jistgħu jaċċessaw il-folder ta’ fajls eżekutibbli bi drittijiet ta’ kitba, u mbagħad jesegwixxu kodiċi arbitrarju. bi drittijiet amministrattivi lokali,” qal it-tħabbira, “L-isfruttament b’suċċess ta’ dawn il-vulnerabbiltajiet jista’ jippermetti lill-attakkanti bi drittijiet ta’ aċċess lokali u lill-utenti tas-server iscv / Xcelera biex jaġġornaw il-permessi fuq is-server u jesegwixxu kodiċi arbitrarju”

It-tħabbira qalet li t-tieni dgħjufija mħabbra f'cve-2018-14789 hija iscv verżjoni 3.1 jew preċedenti u Xcelera verżjoni 4.1 jew preċedenti, u rrimarkat li "ġiet identifikata mogħdija ta 'tfittxija mhux ikkwotata jew vulnerabbiltà tal-element, li tista' tippermetti lill-attakkanti jesegwixxu arbitrarjament. jikkodifikaw u jtejbu l-livell ta’ privileġġ tagħhom”

Bi tweġiba għal avviż tas-sigurtà, Philips qal li "ir-riżultat tal-konferma tal-ilment sottomess mill-klijenti" huwa madwar 20 servizz ta 'twieqi fuq iscv verżjoni 2. X u aktar kmieni u Xcelera 3x - 4. X servers, li minnhom il-fajl eżekutibbli jeżisti f' folder li jkun ingħata permess ta’ tikteb lil utent awtentikat“ Dawn is-servizzi jaħdmu bħala kontijiet ta’ amministratur lokali jew kontijiet tas-sistema lokali, u jekk utent jissostitwixxi wieħed mill-fajls eżekutibbli ma’ programm ieħor, il-programm juża wkoll privileġġi ta’ amministratur lokali jew sistema lokali , “jissuġġerixxi Philips.Jirrakkomanda wkoll li "fl-iscv verżjoni 3. X u preċedenti u Xcelera 3. X - 4. X, hemm 16-il servizz windows mingħajr virgoletti fl-ismijiet tagħhom" Dawn is-servizzi jaħdmu bi privileġġi ta 'amministratur lokali u jistgħu jinbdew b'ċwievet tar-reġistru, li jista' jipprovdi lill-attakkant b'mod kif iqiegħed fajls eżekutibbli li jagħtu privileġġi ta' amministratur lokali.“


Ħin tal-post: Diċ-10-2021