Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Delta Electronics-en CNCSoft eta ScreenEditor-en

Argitalpen data: 2018/08/08

Garrantzia: Handia

Kaltetutako baliabideak:

  • CNCSoft, 1.00.83 bertsioa eta lehenagokoak
  • ScreenEditor, 1.00.54 bertsioa

Azalpena:

Mat Powell-ek, Trend Microko Zero Day Initiativerekin lankidetzan ahultasun hauen berri eman dio NCCIC/ICS-CERTi. Horiek arrakastaz baliatuz erasotzaile batek urrunetik kodea exekuta lezake administratzaile pribilegioekin.

Konponbidea:

Delta Electronicsek CNCSoften azken bertsiora eguneratzea gomendatzen du, v1.01.09, eta aplikazioaren interakzioa konfiantzako fitxategietara murriztea.

Xehetasuna:

  • Pilan oinarritutako bufferraren gainezkatzearen hainbat ahultasunek softwareak huts egitea eragiten dute. Proiektuko fitxategietako datuak pilara kopiatu baino lehen erabiltzailearen sarbidea ez egiaztatzeagatik gertatzen da hori. Ahultasun horretarako CVE-2018-10636 identifikatzailea erabili da.
  • Mugez kanpoko irakurketa erako bi ahultasunek ustekabeko itxiera eragiten dute. Proiektuko fitxategiak prozesatzeko erabiltzailearen sarbidea ez egiaztatzeagatik gertatzen da hori. Ahultasun horretarako CVE-2018-10598 identifikatzailea erabili da.

Etiketak: Ahultasuna