Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/08/08

Garrantzia: Handia

Kaltetutako baliabideak:

• CNCSoft, 1.00.83 bertsioa eta lehenagokoak
• ScreenEditor, 1.00.54 bertsioa

Azalpena:

Mat Powell-ek, Trend Microko Zero Day Initiativerekin lankidetzan ahultasun hauen berri eman dio NCCIC/ICS-CERTi. Horiek arrakastaz baliatuz erasotzaile batek urrunetik kodea exekuta lezake administratzaile pribilegioekin.

Konponbidea:

Delta Electronicsek CNCSoften azken bertsiora eguneratzea gomendatzen du, v1.01.09, eta aplikazioaren interakzioa konfiantzako fitxategietara murriztea.

Xehetasuna:

• Pilan oinarritutako bufferraren gainezkatzearen hainbat ahultasunek softwareak huts egitea eragiten dute. Proiektuko fitxategietako datuak pilara kopiatu baino lehen erabiltzailearen sarbidea ez egiaztatzeagatik gertatzen da hori. Ahultasun horretarako CVE-2018-10636 identifikatzailea erabili da.
• Mugez kanpoko irakurketa erako bi ahultasunek ustekabeko itxiera eragiten dute. Proiektuko fitxategiak prozesatzeko erabiltzailearen sarbidea ez egiaztatzeagatik gertatzen da hori. Ahultasun horretarako CVE-2018-10598 identifikatzailea erabili da.

Etiketak: Ahultasuna