События

В продуктах Schneider Electric исправлены критические уязвимости

Энергомашиностроительная компания Schneider Electric исправила уязвимости в своих продуктах InTouch Machine Edition, InduSoft Web Studio и Triconex Tricon.

Уязвимость (CVE-2018-8840) в InTouch Machine Edition и InduSoft Web Studio позволяет вызвать переполнение буфера в стеке и в результате удаленно выполнить код. Атакующий может проэксплуатировать ее путем отправки особым образом сконфигурированных пакетов во время сигнала тревоги или операций, связанных с событиями (например, записи и чтения). Для успешного проведения атаки особые технические навыки не требуются.

По шкале оценки опасности CVSS v3 уязвимость получила 9,8 балла из максимальных 10. Проблема затрагивает версии продуктов InduSoft Web Studio 8.1 и предыдущие, а также InTouch Machine Edition 2017 8.1 и предыдущие.

В версиях прошивки 10.0-10.4 системы Triconex Tricon 3008 исправлены две уязвимости. Их успешная эксплуатация позволяет атакующему дезинформировать или получить управление Safety Instrumented System и в результате выполнить код, а также отключить или скомпрометировать систему.

Первая уязвимость (CVE-2018-8872) связана с тем, что системный вызов считывается непосредственно из адресов памяти в области программ управления без какой-либо проверки. Манипуляция этими данными позволяет злоумышленнику копировать свои данные в любую точку памяти. По шкале оценки опасности CVSS v3 уязвимость получила 10 баллов из 10.

Вторая уязвимость (CVE-2018-7522) связана с тем, что во время осуществления системного вызова реестры сохраняются в фиксированном месте памяти. Изменение данных в этом месте может позволить злоумышленнику получить доступ на уровне супервизора и контролировать состояния системы. По шкале оценки опасности CVSS v3 уязвимость получила 7,9 балла из 10.

Источник

Автор: Сергей Куприянов
19.04.2018 (18:28)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.