Introducció
Philips ha publicat un avís de seguretat que conté informació sobre 13 vulnerabilitats: 1 d’elles crítica, 8 altes i la resta mitjanes. L’explotació d’estes vulnerabilitats podria permetre l’accés al sistema, modificar dades i executar codi, entre altres.
Esta informació va ser descoberta pels investigadors TAS Health NZ i Camiel van És.[1]
Anàlisi
La vulnerabilitat crítica trobada és la següent:
- CVE-2017-17485 – Deserialización de dades no de confiança (CWE-502):
El component d’un producte extern deserializa dades que no són de confiança sense verificar prou que les dades resultants seran vàlids. Això podria ser emprat per un atacant per a enviar una ingesta json maliciosa, la qual cosa li permetria ometre la llista negra i veure o modificar dades, obtindre accés al sistema, realitzar l’execució de codi o instal·lar programari no autoritzat.
- CVE-2017-17485 – Deserialización de dades no de confiança (CWE-502):
- La sèrie de productes afectats és:
- Philips Vue PACS: versions anteriors a 12.2.8.410.
Recomanacions
Actualitzar Philips Vue PACS a les versions 12.2.8.410 o posteriors.
Referències