ភាពងាយរងគ្រោះរបស់កម្មវិធីត្រូវបានរកឃើញនៅក្នុងឧបករណ៍រូបភាពសរសៃឈាមបេះដូង Philips

យោងតាមរបាយការណ៍របស់ភ្នាក់ងារសន្តិសុខ cve-2018-14787 វាគឺជាបញ្ហាគ្រប់គ្រងឯកសិទ្ធិ។នៅក្នុងផលិតផល intellispace cardiovascular (iscv) របស់ Philips (iscv កំណែ 2. X ឬមុននេះ និង Xcelera កំណែ 4.1 ឬមុននេះ) “អ្នកវាយប្រហារដែលមានសិទ្ធិធ្វើឱ្យប្រសើរឡើង (រួមទាំងអ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់) អាចចូលប្រើថតឯកសារដែលអាចប្រតិបត្តិបានដោយសិទ្ធិសរសេរ ហើយបន្ទាប់មកប្រតិបត្តិកូដតាមអំពើចិត្ត។ ជាមួយនឹងសិទ្ធិរដ្ឋបាលក្នុងតំបន់" សេចក្តីប្រកាសបាននិយាយថា "ការកេងប្រវ័ញ្ចដោយជោគជ័យនូវភាពងាយរងគ្រោះទាំងនេះអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមានសិទ្ធិចូលប្រើក្នុងតំបន់ និងអ្នកប្រើប្រាស់ម៉ាស៊ីនមេ iscv/Xcelera ធ្វើឱ្យប្រសើរឡើងនូវការអនុញ្ញាតនៅលើម៉ាស៊ីនមេ និងប្រតិបត្តិកូដតាមអំពើចិត្ត"

សេចក្តីប្រកាសបាននិយាយថាភាពទន់ខ្សោយទីពីរដែលបានប្រកាសនៅក្នុង cve-2018-14789 គឺ iscv កំណែ 3.1 ឬមុននេះ និង Xcelera កំណែ 4.1 ឬមុននេះ ហើយបានចង្អុលបង្ហាញថា "ផ្លូវស្វែងរកដែលមិនបានដកស្រង់ ឬភាពងាយរងគ្រោះនៃធាតុត្រូវបានគេកំណត់អត្តសញ្ញាណ ដែលអាចឱ្យអ្នកវាយប្រហារអាចប្រតិបត្តិតាមអំពើចិត្ត។ កូដ និងបង្កើនកម្រិតសិទ្ធិរបស់ពួកគេ"

ជាការឆ្លើយតបទៅនឹងការប្រកាសសុវត្ថិភាព Philips បាននិយាយថា "លទ្ធផលនៃការបញ្ជាក់ពាក្យបណ្តឹងដែលបានដាក់ជូនដោយអតិថិជន" គឺប្រហែល 20 windows services នៅលើ iscv version 2. X និងមុននេះ និង Xcelera 3x – 4. X servers ដែលឯកសារអាចប្រតិបត្តិបាននៅក្នុង ថតឯកសារដែលត្រូវបានផ្តល់ការអនុញ្ញាតក្នុងការសរសេរទៅកាន់អ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់" សេវាកម្មទាំងនេះដំណើរការជាគណនីអ្នកគ្រប់គ្រងក្នុងតំបន់ ឬគណនីប្រព័ន្ធមូលដ្ឋាន ហើយប្រសិនបើអ្នកប្រើជំនួសឯកសារដែលអាចប្រតិបត្តិបានមួយជាមួយកម្មវិធីផ្សេងទៀត កម្មវិធីនឹងប្រើសិទ្ធិអ្នកគ្រប់គ្រងក្នុងតំបន់ ឬប្រព័ន្ធមូលដ្ឋានផងដែរ។ " Philips ណែនាំ។វាក៏ផ្តល់អនុសាសន៍ថា “នៅក្នុង iscv កំណែ 3. X និងមុននេះ និង Xcelera 3. X – 4. X មាន 16 windows services ដោយគ្មានសញ្ញាសម្រង់នៅក្នុងឈ្មោះផ្លូវរបស់ពួកគេ” សេវាកម្មទាំងនេះដំណើរការដោយសិទ្ធិអ្នកគ្រប់គ្រងក្នុងតំបន់ ហើយអាចចាប់ផ្តើមជាមួយ registry keys។ ដែលអាចផ្តល់ឱ្យអ្នកវាយប្រហារនូវវិធីមួយដើម្បីដាក់ឯកសារដែលអាចប្រតិបត្តិបាន ដែលផ្តល់សិទ្ធិជាអ្នកគ្រប់គ្រងក្នុងតំបន់។“


ពេលវេលាបង្ហោះ៖ ថ្ងៃទី ១០ ខែ ធ្នូ ឆ្នាំ ២០២១