Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Philips-en IntelliVue Patient Monitors eta Avalon Fetal/Maternal Monitors-en

Argitalpen data: 2018/06/06

Garrantzia: Handia

Kaltetutako baliabideak:

  • IntelliVue Patient Monitors MP Series (MP2/ X2/ MP30/ MP50/ MP70/ NP90/ MX700/ 800) Rev B-M
  • IntelliVue Patient Monitors MX (MX400-550) Rev J-M (X3/MX100, soilik Rev M)
  • Avalon Fetal/Maternal Monitors FM20/FM30/FM40/FM50, F.0, G.0 eta J.3 Berrikuspenak

Azalpena:

Medigate-ko Oran Avraham-ek, Philipsekin koordinazioan, ahultasun hauen berri eman dio NCCICri. Ahultasun hauek arrakastaz baliatuz gero, erasotzaile batek memoria irakur/idatz lezake edota zerbitzuaren ukapen egoera sortu sistema berrabiaraziz. Horrek pazienteen diagnostikoan eta tratamenduan atzerapena eragin lezake.

Konponbidea:

Philipsek zuzenketa partxe bat eskainiko du bertsio berezietarako, bai eta eguneraketa bat ere bertsio guztietarako.

Philipsek ondoko arintzeak eskaini ditu ahultasun horietarako:

  • Philipsek aholkatzen du kaltetutako gailuaren argibideak jarraitzea. Philipsek 2018an konponbideak eskainiko ditu partxe modura IntelliVue-ren J-M berrikuspenetarako eta Avalon-en G.0 eta J.3 berrikuspenetarako. IntelliVueren bertsio zaharragoak dituzten erabiltzaileei Philipsek eguneraketa bide bat eskainiko die euskarria duten berrikuspenetarako. Eguneraketa aukeretarako, erabiltzaileak harremanetan jarri behar dira Philipseko beren salmenta ordezkariarekin.
  • IntelliVue Monitorsen kasuan, Philipsek erabiltzaileei gomendatzen die segurtasun fisiko eta logikoko erabilera argibideak jarraitzea (Kliniketako sareen gidarako Segurtasuna). Modu osagarrian, Philipsek erabiltzaileei gomendatzen die K.2 edo geroagoko berrikuspenetara eguneratzea.
  • Avalon Fetal Monitor-en G.0 eta J.3 bertsioetarako Philipsek erabiltzaileei aholkatzen die instalazio eta zerbitzu gidaliburua jarraitzea (Datuen Pribatutasuna eta Sarearen Segurtasunerako Baldintzak).
  • Avalon Fetal Monitor F.0ren kasuan Philipsek erabiltzaileei aholkatzen die argibideak jarraitzea, Datuen Pribatutasuna eta Sarearen Segurtasunerako Baldintzen zerbitzu Gidako Rev J.3 atalean zehazten den moduan.
  • IntelliVue eta Avalon Fetal Monitor-en instalazio bereziak dituzten erabiltzaileen zalantzak argitzeko, Philipsek gomendatzen du bakoitza bere laguntza zerbitzu lokalarekin harremanetan jartzea edo bestela eskualdeko laguntza zerbitzuarekin.

Xehetasuna:

  • Egiaztatze okerra: Ahultasun honi esker baimenik gabeko erasotzaile batek memoriara sarbidea lor lezake azpisare beraren barnean erasotzaileak berak aukeratutako gailu baten helbidetik. Larritasun altuko ahultasun horretarako CVE-2018-10597 identifikatzailea erabili da.
  • Informazioaren agerpena: Ahultasun honi esker baimenik gabeko erasotzaile batek memoria irakur lezake azpisare beraren barnean erasotzaileak berak aukeratutako gailu baten helbidetik. Larritasun ertaineko ahultasun horretarako CVE-2018-10599 identifikatzailea erabili da.
  • Pilan oinarritutako buffer gainezkatzea: Ahultasun honek "echo" zerbitzu bat agerian uzten du. Hori baliatuz, erasotzaile batek buffer bat bidal lezake azpisare berean berak hautatutako gailu baten helbide batera, bufferra pilara kopiatuko litzateke mugen egiaztapenik gabe, eta pilaren gainezkatzea eragingo litzateke. Larritasun altuko ahultasun horretarako CVE-2018-10601 identifikatzailea erabili da.

Etiketak: Ahultasuna