Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Philipsen IntelliSpace Cardiovascular-en

Argitalpen data: 2018/08/16

Garrantzia: Handia

Kaltetutako baliabideak:

  • IntelliSpace Cardiovascular (ISCV), 3.1 eta lehenagoko bertsioak.
  • Xcelera, 4.1 eta lehenagoko bertsioak.

Azalpena:

Philipsek hainbat ahultasunen berri eman du informazioaren kudeaketarako IntelliSpace Cardiovascular (ISCV) produktuetan. Sarbide lokala lukeen eta aplikazioan autentifikatuta legokeen erasotzaile batek ahultasun horiek balia litzake pribilegioak eskalatzeko ISCV/Xcelera zerbitzariaren barnean edo kode arbitrarioa exekutatzeko.

Konponbidea:

  • ISCVren 2.X eta lehenagoko bertsioei eragiten dien argitaratutako ahultasunetako bat 3.1 bertsioan zuzendua izan da. Erabiltzaileak harremanetan jar daitezke Philipsen laguntza ekipoarekin bere eguneraketarako.
  • 3.1 eta lehenagoko bertsioari buruzko ahultasunaren eta Xceleraren 4.1 eta lehenagoko bertsioen kasuan, 2018ko urrirako espero da hura konponduko duen eguneraketa bat.
  • 3.2 bertsioa aplikagarria izan baino lehen eta arintze neurri modura, Philipsek ondokoa gomendatzen die erabiltzaileei:
    • Fitxategien gaineko sarbide eta baimen politikak berrikustea, ahal den heinean baimen horiek murriztuz.

Xehetasuna:

  • Pribilegioen kudeaketa desegokia: ISCVren 2.X eta lehenagoko bertsioetan eta Xcelera-ren 4.X, 3X eta lehenagoko bertsioetan, erabiltzaile autentifikatu batek sarbidea izan dezake zerbitzariek dauzkaten zerbitzu batzuen exekutagarrietara eta baimen altuekin abiarazten dira. Erasotzaile lokal autentifikatu batek exekutagarri horietako bat programa gaizto batez ordezkatuko balu, hau ere pribilegio altuekin exekutatuko litzateke. Ahultasun horretarako CVE-2018-14787 identifikatzailea erreserbatu da.
  • Kakotxen falta bilaketa elementu edo direktorio batean: ISCVren 3.X eta lehenagoko bertsioetan eta Xcelera-ren 4.X eta lehenagoko bertsioetan pribilegio handiekin diharduten Windows zerbitzu batzuk daude. Zerbitzu horiek ez daukate kakotxik beren direktorio definizioan, eta beraz erasotzaile batek zerbitzu horiek ordezka litzake exekutagarriak diren beste batzuengatik. Ahultasun horretarako CVE-2018-14789 identifikatzailea erreserbatu da.
Etiketak: Ahultasuna