Philips жүрек-қан тамырлары бейнелеу құрылғысында бағдарламалық құралдың осалдығы табылды

Қауіпсіздік агенттігінің cve-2018-14787 есебіне сәйкес, бұл артықшылықты басқару мәселесі.Philips intellispace жүрек-қан тамырлары (iscv) өнімдерінде (iscv 2. X немесе одан бұрынғы нұсқасы және Xcelera 4.1 немесе одан бұрынғы нұсқасы) «жаңарту құқығы бар шабуылдаушылар (аутентификацияланған пайдаланушыларды қоса) жазу құқығы бар орындалатын файлдар қалтасына кіре алады, содан кейін ерікті кодты орындай алады. жергілікті әкімшілік құқықтары бар», - делінген хабарламада, «Осы осалдықтарды сәтті пайдалану жергілікті кіру құқығы бар шабуылдаушыларға және iscv/Xcelera серверін пайдаланушыларға сервердегі рұқсаттарды жаңартуға және еркін кодты орындауға мүмкіндік береді»

Хабарландыру cve-2018-14789-да жарияланған екінші әлсіздік iscv 3.1 немесе одан бұрынғы нұсқасы және Xcelera 4.1 немесе одан бұрынғы нұсқасы болып табылады және «шабуылдаушыларға ерікті әрекеттерді орындауға мүмкіндік беретін тырнақшасыз іздеу жолы немесе элементтің осалдығы анықталды» деп көрсетілген. код және олардың артықшылық деңгейін арттыру»

Қауіпсіздік хабарландыруына жауап ретінде Philips «тұтынушылар жіберген шағымды растау нәтижесі» iscv 2. X және одан бұрынғы нұсқалардағы және Xcelera 3x – 4. X серверлеріндегі 20-ға жуық Windows қызметі екенін айтты, олардың ішінде орындалатын файлы бар. аутентификацияланған пайдаланушыға жазу рұқсаты берілген қалта" Бұл қызметтер жергілікті әкімші тіркелгілері немесе жергілікті жүйелік тіркелгілер ретінде жұмыс істейді және пайдаланушы орындалатын файлдардың бірін басқа бағдарламамен ауыстырса, бағдарлама жергілікті әкімші немесе жергілікті жүйе артықшылықтарын да пайдаланады. , «Филипс ұсынады.Ол сондай-ақ «iscv 3. X және одан бұрынғы және Xcelera 3. X – 4. X нұсқаларында жол атауларында тырнақшасыз 16 windows қызметі бар» деп кеңес береді. Бұл қызметтер жергілікті әкімші артықшылықтарымен жұмыс істейді және оларды тіркеу кілттерімен бастауға болады, ол шабуылдаушыға жергілікті әкімші артықшылықтарын беретін орындалатын файлдарды орналастыру жолын бере алады.«


Жіберу уақыты: 10 желтоқсан 2021 ж