示意图,与新闻事件无关。
图片来源:飞利浦
美国国土安全部旗下的工业控制系统网络紧急应变小组(ICS-CERT)周二警告,飞利浦IntelliSpace△Cardiovascular心血管影像及资讯管理系统出现两项漏洞,可能导致任意程式码执行,进而让外人窃取医疗影像及病患诊断资料。
根据ICS-CERT的安全公告,编号CVE-2018-14787的漏洞影响IntelliSpace△Cardiovascular系统2.x及之前版本,及伺服器软件Xcelera△4.1以前的版本。飞利浦安全公告指出,在上述版本的伺服器上包含20项Windows服务,其可执行档位于骇客具有写入权限的资料夹。这些Windows服务可以本机管理员帐号执行,一旦有人将之置换成恶意程式,则该恶意程式也能以本机管理员帐号或系统权限执行。更糟的是,一个技术普通的攻击者就能开采本项漏洞。该漏洞CVSS△v3 基准分7.3分,属于高度风险漏洞。
第二项漏洞CVE-2018-14789则是不带引号搜寻路径或element漏洞(unquoted△search△path△or△element△vulnerability)。受本漏洞影响的产品为IntelliSpace△Cardiovascular系统3.1及之前版本,及伺服器软件Xcelera△4.1以前的版本。在这些伺服器上,有16项Windows服务路径名称不带括号。由于这些服务是以本机管理员权限执行,并以机码开头,因此路径能让攻击者植入有本机管理员权限的可执行档。本漏洞CVSS△v3 基准分4.2分,属于中度风险漏洞。
成功开采上述两项漏洞都能让攻击者取得管理员权限,进而开启包含可执行档的资料夹,这时攻击者即可执行后门、木马等任意程式码,包括窜改、取得或删除病患诊断资料或医学影像。不过飞利浦表示,攻击者需为经验证的使用者,并需能本机存取ISCV/Xcelera伺服器。但预设状态下,只有管理员才有本机存取的权限。
飞利浦预计10月释出IntelliSpace△Cardiovascular△3.2.0更新版加以修补,届时客户会经平日的服务和经销通路取得更新。
I 相关 / Other
资安一周第5期:WordPress曝露于远端程式攻击风险中。处理器再爆L1TF漏洞,云端服务商纷纷进行修补
2009年曾有研究人员揭露PHP反序列化潜藏的风险,最近英国资安公司Secarma再揭露PHP的反序列化漏洞,成功开采该漏洞,可攻陷WordPress与Typo3内容管理平台,执行远端程式攻击。(图片来源:Secarma) 0816-0822一定
邪恶USB又出现了,只要一条USB充电线就能在PC上植入恶意程式
图片来源: Vincent△Yiu 斯圆安全(SYON△Security)本周对外展示了一个以USB充电线当作攻击媒介的USBHarpoon装置,在连上电脑之后,它能变身为人机介面,可输入必要的快捷键并击键,以在电脑上植入恶意程式。率先提
OpenSSL存在旁路攻击漏洞,光靠拦截手机电磁讯号就能取得金钥
示意图,与新闻事件无关。 美国乔治亚理工学院的安全研究人员近日揭露了OpenSSL的旁路攻击漏洞,可利用软件无线电装置来拦截手机的电磁讯号并汲取出金钥。OpenSSL为加密通讯协议SSL与TLS的开源版,能够防止窃听,也
示意图,与新闻事件无关。 图片来源: Apple 中国官方电视台—央视(CCTV)自今年7月底开始抨击苹果App△Store上存有许多非法内容,其中的赌博与彩票程式已造成许多民众受害,而苹果则在本周对外证实,已移除中国Ap
Chrome Enterprise 69预设停用Flash,还将禁止第三方程式码注入
图片来源: Google 针对9月即将要正式发布的Chrome△69,Google特别提醒IT人员需要注意的部分。在Chrome△69中,将阻挡第三方软件对浏览器注入程式码、弃用Flash,为了帮助企业管理员工密码安全,也新增了密码警示政策