三菱電機E-Designer引擎被曝高危漏洞
關注E安全 關注網路安全一手資訊
E安全8月4日訊,美國工業控制系統網路應急響應小組(ICS-CERT)攜手趨勢科技(Trend Micro公司)的零日計劃(簡稱ZDI)披露了多項對三菱電機E-Designer引擎(一款用於對E1000人機界面(簡稱HMI)的編程工具)產生影響的多項高危安全漏洞。
昵稱為「rgod」的安全研究人員安德里亞·米卡利茲(Andrea Micalizzi)發現,E-Designer Build 344的7.52版本中存在多項安全漏洞,可被用於實施遠程代碼執行及拒絕服務(簡稱DoS)攻擊。
這位專家確定了三種缺陷類型:
基於堆棧的緩衝區溢出漏洞(CVE-2017-9638);
基於堆的緩衝區溢出漏洞(CVE-2017-9636);
以及外界寫入bug(CVE-2017-9634)。
米卡利茲總計發現了六項堆棧緩衝區溢出漏洞以及五項堆緩衝區溢出漏洞,且會影響到某驅動程序配置文件處理過程當中進行初始化的多個組件。
問題在於,此流程無法正確驗證用戶所提供數據的長度,而是直接將其複製至固定長度緩衝區; 這意味著攻擊者能夠作為管理員執行任意代碼。為了實現攻擊效果,黑客需要誘導目標用戶打開惡意文件或者網頁。
這位研究人員發現的兩項外界寫入缺陷則源自項目特定文件(.mpa)內特定部分的處理方式。這些缺陷同樣會導致遠程代碼執行。
ZDI方面已經針對這13項安全漏洞逐一發布了處理建議。而且全部漏洞皆被評為高危級別,即CVSS評分機制中的9分以上。
根據ZDI的說法,這些安全缺陷已經於2016年5月末被上報至三菱方面,但諮詢意見於本月才剛剛公布。
三菱公司還沒有針對E-Designer發布補丁,因為該產品業已停產。相反,其建議客戶使用三菱旗下的新產品GT Works以替代由E-Designer開發的人機界面,或者在防火牆後的安全網路當中使用E-Designer。
ICS-CERT方面建議用戶將控制系統安置在防火牆之後,並將其與業務網路相隔離,同時在需要進行遠程訪問時確保使用VPN。
04
E安全推薦文章
官網:www.easyaq.com
2017年8月
01
02
03
04
05
06
07
※黑客將利用CAN匯流排漏洞Dos攻擊你的汽車「附下載地址」
※警惕QQ群里「王者榮耀」外掛 可能是新型勒索病毒偽裝!
※維基解密曝:CIA通過「Dumbo」項目進行物理入侵
※黑客利用網遊漏洞賺取巨額財富!發家致富全新道路?
TAG:E安全 |
※杉岩統一存儲推出SandStone AgileStore高性能引擎
※阿里開源富容器引擎 PouchContainer的network 連接機制
※《Istio官方文檔》Google Kubernetes引擎快速入門
※Ross Video基於UE4開發了圖像引擎Frontier
※快速查找3D asset,Unity推出3D內容搜索引擎Visual Search
※Windows10 Edge瀏覽器將切換Chromium/Blink引擎
※專訪朱詩雄:Apache Spark中的全新流式引擎Structured Streaming
※Chrome添加DuckDuckGo搜索引擎
※Maserati Levante Trofeo搭載V8引擎現身紐約車展!
※高通驍龍Elite Gaming:專為XR引擎優化
※Google 搜索引擎停止支持 Windows Phone
※Google正式集成Kubernetes引擎與GPU服務
※詳細分析微軟Edge瀏覽器Chakra引擎UAF漏洞
※OPPO發布Hyper Boost加速引擎 和O-Free真無線耳機試用
※MESON發布新搜索引擎Heymesh,Magic Leap 404頁面隱藏神秘彩蛋
※WebVR Engine:一個「Photoshop版的美圖秀秀」的VR引擎
※AR創作平台PlugXR Creato與Unity3D引擎兼容
※開源遊戲引擎「Godot Engine」推出VR版
※白鷺引擎發布 調整Facebook Instant Games 接入方式
※最小化類 AlphaGo Zero 引擎——Nochi