В Philips PageWriter обнаружены уязвимости

В моделях кардиографов PageWriter TC10, TC20, TC30, TC50 и TC70 производства компании Philips обнаружены две уязвимости. Проблемы затрагивают все продукты, выпущенные до мая 2018 года.

CVE-2018-14799 представляет собой уязвимость переполнения буфера или строки форматирования и существует из-за недостаточной проверки вводимых пользователем данных. По системе оценивания опасности CVSS v3 уязвимость получила оценку 5,9 балла из максимальных 10.

Уязвимость CVE-2018-14801 существует из-за вшитых учетных данных. Вооружившись паролем суперпользователя, атакующий с физическим доступом к устройству может изменить его настройки и сбросить существующие пароли.

Исправляющие уязвимости обновления будут выпущены в середине следующего года. Как отмечает Philips, операционная система WinCE5, под управлением которой работают PageWriter TC20, TC30, TC50 и TC70, является устаревшей и больше не поддерживается.

Модели устройств PageWriter TC50 и TC70 поддерживают версию ОС WinCE7, загрузить которую можно из InCenter. В случае, если клиенты обеспокоены тем, что WinCE5 больше не поддерживается производителем, Philips рекомендует заменить TC20 и TC30 на TC50. К концу 2019 года модель TC20 будет обновлена до поддерживаемой ОС.