Уязвимость в IBM SPSS Statistics ставит конфиденциальность данных под угрозу

ИБ-исследователи Fortinet FortiGuard Labs обнаружили уязвимость, позволяющую выполнение произвольного кода, в ActiveX копоненте популярной универсальной системе анализа данных IBM SPSS Statistics. Брешь уже устранена специалистами IBM. Уязвимость  CVE-2015-0140 возникла из-за того, что элемент управления ActiveX недостаточно осуществляет проверку входных данных.

Элемент управления ActiveX в SPSS Statistics версии 22 на устройствах на базе 32-битной версии Windows может позволить злоумышленнику удаленно выполнить произвольный код на системе. В случае, если жертва посетит специально созданную злоумышленником web-страницу, преступник сможет проэксплуатировать уязвимость для произвольного выполнения кода, сообщают эксперты IBM.

Специалисты Fortinet отмечают, что уязвимость достаточно опасна и представляет собой серьезную угрозу, так как многие организации используют IBM SPSS Statistics для обработки интеллектуальной собственности, включая и анализ собственных важных исследований. Теоретически, злоумышленники могут наладить удаленный доступ к хранилищам данных за пределами локальной машины и получать личную информацию жертвы в любое время.