Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 10/10/2018

Importancia: Media

Recursos afectados:

• iFIX versiones desde 2.0 hasta la 5.0
• iFIX versiones 5.1, 5.5 y 5.8

Descripción:

El investigador LiMingzheng de 360 aegis ha reportado esta vulnerabilidad de control inseguro del objeto ActiveX marcado como seguro para scripting. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante originar un desbordamiento de búfer.

Solución:

El fabricante publicó la versión 5.9 iFIX en junio de 2017 para solucionar este problema en la versión del componente Gigasoft 8.0.

General Electric recomienda a los usuarios usar solamente ActiveX con fuentes de confianza.

Detalle:

• Control inseguro de objeto ActiveX marcado como seguro para scripting: Se han identificado múltiples instancias de esta vulnerabilidad en el objeto ActiveX de terceros proporcionado a General Electric iFIX por Gigasoft. Sólo el uso independiente del paquete de gráficos de Gigasoft fuera del producto iFIX puede exponer a los usuarios a esta vulnerabilidad. El método reportado que afecta a Internet Explorer no está expuesto en el producto iFIX, ni se sabe si es la funcionalidad principal del producto iFIX afectada. Se ha asignado el identificador CVE?2018-17925 para esta vulnerabilidad.

Etiquetas: Vulnerabilidad