物聯(lián)網(wǎng)應用平臺研華WebAccess軟件爆任意代碼執(zhí)行漏洞

責任編輯:editor004

2017-11-07 11:36:22

摘自:E安全

研華WebAccess軟件是研華物聯(lián)網(wǎng)應用平臺解決方案的核心,為用戶提供一個基于HTML5技術(shù)用戶界面,實現(xiàn)跨平臺、跨瀏覽器的數(shù)據(jù)訪問體驗。根據(jù)美國ICS-CERT消息

研華WebAccess軟件是研華物聯(lián)網(wǎng)應用平臺解決方案的核心,為用戶提供一個基于HTML5技術(shù)用戶界面,實現(xiàn)跨平臺、跨瀏覽器的數(shù)據(jù)訪問體驗。使用WebAccess后,用戶可以建立一個信息管理平臺,同步提高垂直市場管理發(fā)展的效率。

研華WebAccess提供了一個基于HTML5的智能儀表板作為下一代WebAccess的人機界面。其中,小部件功能可以讓系統(tǒng)集成商通過分析圖表和圖形用儀表板編輯器來創(chuàng)建自定義信息頁面。在創(chuàng)建儀表板界面之后,最終用戶可以通過儀表板查看器來查看數(shù)據(jù)與以及可以在電腦、Mac、平板電腦和智能手機通過任何瀏覽器無縫觀看體驗。

根據(jù)美國ICS-CERT消息,8.2_20170817之前的WebAccess版本受基于堆棧的緩沖區(qū)溢出(CVE-2017-14016)漏洞和不可信的指針取消引用漏洞(CVE-2017-12719)的影響。

“WebAccess在將用戶提供的數(shù)據(jù)復制到基于堆棧的緩沖區(qū)之前缺少適當?shù)尿炞C長度,這可能允許攻擊者在該進程的上下文中執(zhí)行任意代碼。”ICS-CERT對緩沖區(qū)溢出漏洞進行了解釋,該漏洞已被分類為中危漏洞。

至于第二個漏洞已經(jīng)被分類為高危漏洞,ICS-CERT警告說:“遠程攻擊者能夠執(zhí)行代碼來引用程序中的指針,最終導致WebAccess不可用。”

趨勢科技的Zero Day Initiative(ZDI)團隊通過Offensive Security的Steven Seeley向研華公司通報了這兩個漏洞。

ZDI尚未公布關(guān)于這兩個漏洞的細節(jié),但目前仍存在于ZDI即將到期公布的漏洞列表中。 在這份列表中羅列出了70多個漏洞,其中包括許多高危漏洞。

ZDI計劃在11月底到12月初披露更多的安全漏洞。根據(jù)ZDI在5月份發(fā)布的一份報告顯示,研華平均需要131天的時間來修補漏洞,超過了ZDI 設(shè)定的披露期限(4個月)。

安全研究人員在過去幾年中發(fā)現(xiàn)了研華WebAccess軟件中存在多個漏洞。就在幾個月前,ICS-CERT透露,前后共計有10個,包括允許遠程代碼執(zhí)行和未授權(quán)訪問的漏洞,但都已經(jīng)被研華修復。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號