Fecha de publicación: 10/10/2018
Importancia:
Media
Recursos afectados:
- iFIX versiones desde 2.0 hasta la 5.0
- iFIX versiones 5.1, 5.5 y 5.8
Descripción:
El investigador LiMingzheng de 360 aegis ha reportado esta vulnerabilidad de control inseguro del objeto ActiveX marcado como seguro para scripting. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante originar un desbordamiento de búfer.
Solución:
El fabricante publicó la versión 5.9 iFIX en junio de 2017 para solucionar este problema en la versión del componente Gigasoft 8.0.
General Electric recomienda a los usuarios usar solamente ActiveX con fuentes de confianza.
Detalle:
- Control inseguro de objeto ActiveX marcado como seguro para scripting: Se han identificado múltiples instancias de esta vulnerabilidad en el objeto ActiveX de terceros proporcionado a General Electric iFIX por Gigasoft. Sólo el uso independiente del paquete de gráficos de Gigasoft fuera del producto iFIX puede exponer a los usuarios a esta vulnerabilidad. El método reportado que afecta a Internet Explorer no está expuesto en el producto iFIX, ni se sabe si es la funcionalidad principal del producto iFIX afectada. Se ha asignado el identificador CVE?2018-17925 para esta vulnerabilidad.
Etiquetas:
Vulnerabilidad