События

Philips сообщила о 9 опасных уязвимостях в одном из своих медицинских решений

Компания Philips обнаружила в одном из своих продуктов e-Alert Unit девять различных опасных уязвимостей, одна из которых является критической и позволяет злоумышленнику удаленно выполнить произвольный код. Проблемы затрагивают версии R2.1 и более ранние.

Philips e-Alert Unit представляет собой решение, позволяющее контролировать работу медицинских систем визуализации. Оно не является медицинским оборудованием само по себе. Данное решение предупреждает, когда ключевые параметры в аппаратах МРТ не действуют.

«Успешная эксплуатация данных уязвимостей злоумышленником, находящимся в пределах одной подсети, может привести к компрометации пользовательских данных, нарушить целостность и/или доступность устройства. Уязвимости могут позволить злоумышленникам выполнять произвольный код, получать информацию об устройстве и потенциально добиться сбоя e-Alert», - следует из предупреждения ICS-CERT.

В частности, в решении обнаружены следующие уязвимости :

  • Некорректная проверка входных данных (CVE-2018-8850) - внедрение вредоносных данных в форму может привести к произвольному управлению ресурсом или выполнению произвольного кода.

  • Межсайтовый скриптинг (CVE-2018-8846) - некорректная проверка входных данных при создании web-страницы.

  • Раскрытие информации (CVE-2018-14803) - злоумышленник может получить информацию о продукте, которая может быть использована для атаки.

  • Некорректные разрешения по умолчанию (CVE-2018-884) - программное обеспечение устанавливает некорректные разрешения во время установки.

  • Отправка данных в виде простого текста (CVE-2018-8842) - критически важные для безопасности данные передаются по незашифрованному каналу, позволяя раскрыть необходимую для авторизации информацию.

  • Межсайтовая подделка запросов (CVE-2018-8844) - недостаточная проверка источника сформированного запроса.

  • Фиксация сеанса (CVE-2018-8852) - злоумышленник может перехватить аутентифицированною сессию без аннулирования существующих идентификаторов.

  • Исчерпание ресурсов (CVE-2018-8854) - программное обеспечение не может ограничить объем расходуемых ресурсов.

  • Использование неизменяемых учетных данных (CVE-2018-8856) - программное обеспечение шифрует внутренние данные с помощью неизменяемого криптографического ключа.

В июне текущего года Philips выпустила обновление, устраняющее некоторые проблемы. Компания планирует исправить остальные уязвимости до конца 2018 года.

Источник

Автор: Сергей Куприянов
3.09.2018 (17:24)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.