Një cenueshmëri e softuerit u gjet në pajisjen e imazhit kardiovaskular Philips

Sipas raportit të agjencisë së sigurisë cve-2018-14787, është një çështje e menaxhimit të privilegjeve.Në produktet intellispace kardiovaskulare (iscv) të Philips (iscv versioni 2. X ose më i hershëm dhe Xcelera versioni 4.1 ose më i hershëm), "sulmuesit me të drejta përmirësimi (përfshirë përdoruesit e vërtetuar) mund të hyjnë në dosjen e skedarëve të ekzekutueshëm me të drejta shkrimi dhe më pas të ekzekutojnë kodin arbitrar me të drejta administrative lokale”, thuhej në njoftim, “shfrytëzimi i suksesshëm i këtyre dobësive mund të lejojë sulmuesit me të drejta aksesi lokal dhe përdoruesit e serverit iscv / Xcelera të përmirësojnë lejet në server dhe të ekzekutojnë kodin arbitrar”

Njoftimi thoshte se dobësia e dytë e shpallur në cve-2018-14789 është versioni iscv 3.1 ose më i hershëm dhe Xcelera versioni 4.1 ose më herët, dhe theksoi se "është identifikuar një shteg kërkimi i pacituar ose cenueshmëria e elementit, e cila mund t'i lejojë sulmuesit të ekzekutojnë arbitrare kodoni dhe përmirësoni nivelin e tyre të privilegjit"

Në përgjigje të një njoftimi sigurie, Philips tha se "rezultati i konfirmimit të ankesës së paraqitur nga klientët" është rreth 20 shërbime të Windows në iscv versioni 2. X dhe më herët dhe serverët Xcelera 3x – 4. X, nga të cilët skedari i ekzekutueshëm ekziston në një dosje që i është dhënë leja e shkrimit për një përdorues të vërtetuar" Këto shërbime funksionojnë si llogari të administratorit lokal ose llogari të sistemit lokal, dhe nëse një përdorues zëvendëson një nga skedarët e ekzekutueshëm me një program tjetër, programi do të përdorë gjithashtu privilegjet e administratorit lokal ose të sistemit lokal , “sugjeron Philips.Ai gjithashtu rekomandon që "në versionin iscv 3. X dhe më herët dhe Xcelera 3. X – 4. X, ka 16 shërbime të Windows pa thonjëza në emrat e tyre" Këto shërbime funksionojnë me privilegje administratori lokal dhe mund të nisen me çelësat e regjistrit, i cili mund t'i sigurojë një sulmuesi një mënyrë për të vendosur skedarë të ekzekutueshëm që japin privilegje të administratorit lokal."


Koha e postimit: Dhjetor-10-2021