Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 30/11/2018

Importancia: Media

Recursos afectados:

• VT-Designer versión 2.1.7.31

Descripción:

Ariel Caltabiano, en colaboración con ZeroDay initiative de Trend Micro, ha reportado múltiples vulnerabilidades, que podrían permitir a un atacante remoto bloquear el programa o ejecutar código.

Solución:

• INVT Electric todavía no ha publicado una solución para estas vulnerabilidades

Detalle:

• Los objetos se completan con la información suministrada por el usuario a través de un archivo, sin haber comprobado previamente su validez, lo que podría permitir al atacante escribir información en ubicaciones de memoria conocidas, pudiendo bloquear el programa o ejecutar código de forma remota. Se ha reservado el identificador CVE-2018-18987 para esta vulnerabilidad.
• El programa lee el contenido de un archivo que ya está en memoria en otro búfer basado en memoria dinámica (heap), lo que podría permitir el bloqueo del programa o la ejecución remota de código. Se ha reservado el identificador CVE-2018-18983 para esta vulnerabilidad.

Etiquetas: Vulnerabilidad