Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/08/07

Garrantzia: Kritikoa

Kaltetutako baliabideak:

WebAccess HMI Designer, 2.1.9.31 bertsioa eta aurrekoak.

Azalpena:

Kimiya eta Natnael Samson ikertzaileek, Trend Micro-ren Zero Day Initiative egitasmoarekin elkarlanean, 6 ahultasunen berri eman diote CISAri; bat larritasun kritikokoa da, 4 altukoak, eta beste bat baxukoa. Motak: pilan oinarritutako buffer gainezkatzea, heap motako buffer gainezkatzea, mugetatik kanpoko irakurketa, mugetatik kanpoko idazketa, mota ez bateragarriko baliabiderako sarbidea eta free funtziorako dei bikoitza.

Konponbidea:

Advantech etxeak WebAccess HMI Designer 2.1.9.81 bertsioa argitaratu du, ahultasun horiek konpontzeko.

Xehetasunak:

• Erabiltzaileak emandako datuen balioztatze egokirik gabeko bereziki diseinatutako proiektu-artxiboak prozesatuz gero, pilan oinarritutako (stack) buffer gainezkatzea gerta liteke; horren ondorioz, kodearen urrutiko exekuzioa gertatuko litzateke, informazioaren zabalkunde edo aldaketa, edota aplikazioaren blokeoa. Ahultasun horretarako, CVE-2020-16215 identifikatzailea esleitu da.
• Heap motako buffer gainezkatze ahultasunak ustiatu litezke bereziki diseinatutako proiektu-artxiboak irekiz, kodearen urrutiko exekuzioa burutzeko, informazioa zabaldu edota aldatu, edo aplikazioa blokeatzeko. Ahultasun horretarako, CVE-2020-16207 identifikatzailea esleitu da.
• Erabiltzaileak emandako datuen balioztatze egokirik gabeko bereziki diseinatutako proiektu-artxiboak prozesatuz gero, aurreikusitako buffer eremutik kanpo idatz lezake sistemak; horren ondorioz, kodearen urrutiko exekuzioa gertatuko litzateke, informazioaren zabalkunde edo aldaketa, edota aplikazioaren blokeoa. Ahultasun horretarako, CVE-2020-16213 identifikatzailea esleitu da.
• Erabiltzaileak emandako datuen balioztatze egokirik gabeko bereziki diseinatutako proiektu-artxiboak prozesatuz gero, moten nahasketa gerta liteke; horren ondorioz, kodearen urrutiko exekuzioa gertatuko litzateke, informazioaren zabalkunde edo aldaketa, edota aplikazioaren blokeoa. Ahultasun horretarako, CVE-2020-16229 identifikatzailea esleitu da.
• Bereziki diseinatutako proiektu-artxiboen prozesatzeak eragindako memoria askatzeko funtzioaren ahultasunaren ondorioz, kodearen urrutiko exekuzioa burutu liteke, informazioa zabaldu edota aldatu, edo aplikazioa blokeatu. Ahultasun horretarako, CVE-2020-16217 identifikatzailea esleitu da.
• Mugetatik kanpoko irakurketaren ahultasun bat baliatu liteke, bereziki diseinatutako proiektu-artxiboak prozesatzean, erasotzaile batek informazio hori irakurri ahal izateko. Ahultasun horretarako, CVE-2020-16211 identifikatzailea esleitu da.

Etiketak: Eguneratzea, Azpiegitura Kritikoak, Ahultasuna