Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Mugez kanpoko irakurketa Advantech-en WebAccess HMI Designer-en

Argitalpen data: 2019/08/02

Garrantzia: Handia 

Kaltetutako baliabideak: 

Advantech WebAccess HMI Designer, 2.1.9.23 eta lehenagoko bertsioak.

Azalpena: 

Zero Day Initiative-ko (ZDI) Mat Powell-ek mugez kanpoko irakurketa erako ahultasun baten berri eman du, Advantech-en WebAccess HMI Designer softwareari eragiten diona. Ahultasun hori arrakastaz baliatuz gero, urruneko erasotzaile batek kode arbitrarioa exekuta lezake.

Konponbidea: 

Advantech-ek ahultasun horiek konpontzen dituen WebAccess HMI Designer-en 2.1.9.31 bertsioa argitaratu du.

Xehetasuna: 

Bereziki diseinatutako MCR fitxategiak prozesatzerakoan erabiltzaileak emandako datuen baliozkotze desegoki bat dela eta, aurreikusitako bufferraren areatik kanpo idatz lezake sistemak, eta horren ondorioz kodea exekuta liteke urrunetik. Ahultasun horretarako CVE-2019-10961 identifikatzailea erabili da.

Etiketak: Eguneraketa, Ahultasuna