В ПО Delta DOPSoft выявлены серьезные уязвимости
В программном обеспечении для программирования панелей оператора Industrial Automation DOPSoft производства Delta Electronics обнаружен ряд уязвимостей, проэксплуатировав которые атакующие удаленно могут получить доступ к важной информации, выполнить произвольный код и/или вызвать отказ в обслуживании приложения. Уязвимостям подвержены версии DOPSoft 4.00.04 и более ранние.
Уязвимость CVE-2018-10623 связана с тем, что приложение производит операции чтения в буфере, где позиция может быть определена значением, считанным из .dpa файла. Это может привести к ограничению операций в пределах буфера, а также позволить выполнить произвольный код, изменить поток управления, прочитать важную информацию или вызвать сбой в работе.
Уязвимости CVE-2018-10617 и CVE-2018-10621 связаны с использованием фиксированных по размеру стека и кучи. Считывание слишком большого значения (превышающего размер буфера) из .dpa файла в буфер приводит к перезаписи содержимого буфера, что может позволить выполнить код или вызвать отказ в обслуживании приложения.
Delta Electronics рекомендует пользователям обновиться до последней версии ПО, а также разрешить взаимодействие с приложением только доверенным файлам.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш