Philipsin sydän- ja verisuonikuvauslaitteesta löytyi ohjelmistohaavoittuvuus

Turvaviraston raportin cve-2018-14787 mukaan kyseessä on etuoikeuksien hallintaongelma.Philipsin intellispace kardiovaskulaarisissa (iscv) -tuotteissa (iscv-versio 2. X tai vanhempi ja Xcelera-versio 4.1 tai aikaisempi) "hyökkääjät, joilla on päivitysoikeudet (mukaan lukien todetut käyttäjät), voivat käyttää suoritettavien tiedostojen kansioon kirjoitusoikeuksilla ja suorittaa sitten mielivaltaisen koodin Paikallisilla järjestelmänvalvojan oikeuksilla", tiedotteessa sanotaan: "Näiden haavoittuvuuksien onnistunut hyödyntäminen voi antaa hyökkääjille, joilla on paikalliset käyttöoikeudet, ja iscv/Xcelera-palvelimen käyttäjät voivat päivittää palvelimen käyttöoikeudet ja suorittaa mielivaltaisen koodin"

Tiedotteessa kerrottiin, että toinen cve-2018-14789:ssä ilmoitettu heikkous on iscv-versio 3.1 tai vanhempi ja Xcelera-versio 4.1 tai aikaisempi, ja huomautettiin, että "on tunnistettu lainaamaton hakupolun tai elementin haavoittuvuus, joka voi antaa hyökkääjille mahdollisuuden suorittaa mielivaltaisia koodia ja parantaa heidän etuoikeustasoaan"

Vastauksena tietoturvailmoitukseen Philips sanoi, että "asiakkaiden tekemän valituksen vahvistamisen tulos" on noin 20 windows-palvelua iscv-versiossa 2. X ja sitä vanhemmissa sekä Xcelera 3x – 4. X -palvelimissa, joista suoritettava tiedosto on olemassa kansio, jolle on myönnetty kirjoitusoikeus todennetulle käyttäjälle. Nämä palvelut toimivat paikallisina järjestelmänvalvojatileinä tai paikallisina järjestelmätileinä, ja jos käyttäjä korvaa jonkin suoritettavasta tiedostosta toisella ohjelmalla, ohjelma käyttää myös paikallisen järjestelmänvalvojan tai paikallisen järjestelmän oikeuksia. , "Philips ehdottaa.Se suosittelee myös, että "iscv-versiossa 3. X ja aiemmissa versioissa ja Xcelera 3. X - 4. X:ssä on 16 Windows-palvelua ilman lainausmerkkejä niiden poluissa". Nämä palvelut toimivat paikallisilla järjestelmänvalvojan oikeuksilla ja ne voidaan käynnistää rekisteriavaimilla, joka voi tarjota hyökkääjälle tavan sijoittaa suoritettavat tiedostot, jotka myöntävät paikallisen järjestelmänvalvojan oikeudet."


Postitusaika: 10.12.2021