富士电机修复HMI软件中的漏洞

▌作者：Eduard Kovacs

▌翻译：360代码卫士团队

日本机电设备公司富士电机为其中一款人机界面 (HMI) 产品发布了更新，已修复产品中的多个漏洞。

受影响产品是富士电机MonitouchV-SFT的应用程序，能让组织机构配置自己的HMI屏幕。这款软件用于全球关键制造行业和能源行业。

ICS-CERT在周四通知组织机构称Monitouch V-SFT软件受到栈缓冲溢出和堆缓冲溢出漏洞和不正确的权限管理漏洞，这些漏洞可被利用执行任意代码和升级权限。

研究人员ArieleCaltabiano（即kimiya）和Fritz Sands通过趋势科技的ZDI在2016年9月份告知厂商。ZDI指出，能让远程攻击者在目标进程的上下文中引发崩溃或执行任意代码的堆缓冲漏洞，能通过让目标用户访问恶意网页或打开恶意文件的方式被利用。

这些漏洞的CVE编号是CVE-2017-9659和CVE-2017-9660，存在的原因在于这款应用程序解析V8项目文件的方式，并且是因为在将用户提供的数据复制到固定长度缓冲之前并未正确验证用户数据的长度而导致的。

虽然ZDI已将这些缓冲溢出漏洞评估为中危漏洞且CVSS评分为6.8，但ICS-CERT已将这些问题列为高危漏洞，CVSS评委是7.3。

影响富士电机MonitouchV-SFT的第三种漏洞严重程序较低。它能让有能力执行低权限代码的本地攻击者能升级权限。ZDI在安全公告中指出，这个漏洞存在于Monitouch V-SFT的配置中。该软件以对可执行文件的弱访问控制安装。攻击者能利用这个漏洞在软件任意用户的上下文中执行代码。

ICS-CERT表示，所有的这些漏洞已通过Monitouch V-SFT5.4.43.0版本的发布修复。除了应用更新外，ICS-CERT还建议组织机构采取措施限制对控制系统的访问。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。