В ПО Mitsubishi Electric E-Designer обнаружены критические уязвимости
ICS-CERT и специалисты подразделения Trend Micro Zero Day Initiative (ZDI) обнародовали информацию о ряде опасных уязвимостей в приложении Mitsubishi Electric E-Designer, используемом для программирования панелей оператора Mitsubishi Electric серии E1000.
Уязвимости затрагивают E-Designer v7.52 Build 344 и позволяют удаленно выполнить код и вызвать отказ в обслуживании устройств. Эксперты обнаружили в общей сложности 13 проблем различных классов: 11 уязвимостей переполнения буфера (CVE-2017-9638, CVE-2017-9636) и две уязвимости записи за пределами поля (CVE-2017-9634).
Первая группа уязвимостей затрагивает различные компоненты, задействованные в процессе обработки конфигурационного файла драйвера. Проблема заключается в отсутствии проверки вводимых пользователем данных перед их копированием в буфер, имеющим фиксированный размер, что позволяет атакующему выполнить код в контексте администратора. Для успешной атаки злоумышленник должен убедить жертву открыть вредоносный файл или интернет-страницу.
Уязвимости записи за пределами поля связаны с обработкой определенных секций файла проекта (.mpa). Данные проблемы также могут экплуатироваться для выполнения кода.
Эксперты проинформировали производителя об уязвимостях в мае 2016 года. Mitsubishi Electric не намерена выпускать патчи, устраняющие уязвимости, в связи с прекращением выпуска продукта.
Mitsubishi Electric - поставщик полного ряда компонентов автоматизации. Полная линейка продуктов включает различные решения - от приводов до контроллеров и индустриальных роботов наряду с несколькими сериями панелей управления для заводов и машиностроения и визуализации процессов.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш