Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Delta Electronics-en TPEditor produktuan

Argitaratze-data: 2018/10/15

Garrantzia: Ertaina

Kaltetutako baliabideak:

  • Delta Industrial Automation TPEditor, 1.90 bertsioa eta aurrekoak.

Azalpena:

9SG Security Team-eko Ariele Caltabianok eta Mat Powellek, Zero Day Initiative ekimenarekin elkarlanean, Delta Electronics-en TPEditor tresnari eragiten dioten hainbat ahultasun antzeman dituzte, bufferraren gainezkatze eta mugetatik kanpoko idazketa motakoak.  Erasotzaile batek kode arbitrarioa exekutatu lezake eta informazio sentikorra zabaldu.

Konponbidea:

Delta Electronics enpresak TPEditor tresnaren 1.91 bertsioa argitaratu du, ahultasun horiek konpontzeko.

Xehetasuna:

  • Bereziki manipulatutako fitxategi baten bidez, erasotzaile batek erabiltzailearen sarrera-datuen balioztatze falta baliatu lezake proiektu-fitxategitik multzora kopiatu aurretik; horrela, kodea urrutitik exekutatzea lortu dezake. Ahultasun horretarako, CVE-2018-17929 identifikatzailea esleitu da.
  • Erasotzaile batek kodea urrutitik exekutatu lezake, bereziki manipulatutako fitxategi bat erabiliz; erabiltzailearen sarrera-datuen balioztatze-falta baliatu lezake eta esleitutako mugetatik kanpo idatzi. Ahultasun horretarako, CVE-2018-17927 identifikatzailea esleitu da.

Etiketak: Eguneratzea, Ahultasuna