Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Advantech-en WebAccess HMI Designer sisteman

Argitaratze-data: 2018/04/24

Garrantzia: Ertaina

Kaltetutako baliabideak:

Advantech WebAccess HMI Designer

Azalpena:

Source Incite enpresako Steven Seeley ikertzaileak hainbat ahultasun atzeman ditu. Erasotzaile batek kodearen urrutiko exekuzioa burutu lezake kaltetutako produktuan.

Konponbidea:

Advantech etxeak ez du jakinarazi nola konpon daitezkeen atzemandako ahultasun horiek. Hala ere, deskubritu dituen ikertzaileak berak arintze estrategia bat gomendatu du: aplikazioaren interakzioa konfiantzazko fitxategietara mugatzea.

Xehetasuna:

  • Kodearen urrutiko exekuzioa PM3 fitxategiak aztertzean edo PM2 artxiboa PM3 formatura bihurtzean. Urrutiko erasotzaile batek kode arbitrarioa exekutatu lezake, honakoren baten ondorioz:
    • Sarrera-datuak oker balioztatzea.
    • Erabiltzaileak emandako datuen luzera oker balioztatzea, luzera finkoko buffer batean kopiatu aurretik.
    • Objektu bat dagoen ez konprobatzea, horrengan eragiketak egin aurretik.

Etiketak: 0day, Ahultasuna