В ПО систем кассового самообслуживания от Toshiba найдены серьезные уязвимости

image

Теги: Toshiba, уязвимость, CERT, FishNet Security

Одна из брешей позволяет дешифровать содержимое файла bossinfo.pro, использовав жестко прописанный ключ шифрования.

Специалист компании FishNet Security Дэвид Оделл (David Odell) опубликовал отчет об  уязвимости  в ПО Checkout Environment for Consumer-Service для систем кассового самообслуживания от Toshiba. Брешь затрагивает ключи шифрования в версиях 6.6 и 6.7 разработанного Toshiba ПО. Японская компания призвала пользователей обновить ПО устройств, установив сборку 4014 версии 6.6 и сборку 4329 версии 6.7.

Ключ шифрования находился в файле CreateBossCredentials.jar и был удален разработчиком в обновленной версии ПО. Злоумышленник мог использовать этот ключ для расшифровки содержимого bossinfo.pro и таким образом получить доступ к учетным данным базы BOSS. База данных BOSS является частью ПО Back Office Application, которое поставляется вместе с Checkout Environment for Consumer-Service.

Еще одна уязвимость была обнаружена экспертами координационного центра CERT в ОС Toshiba 4690, которая обеспечивает работу PoS-терминалов. Согласно данным CERT, Toshiba 4690 выпуск 3, версия 6 подвержена  уязвимости  раскрытия информации. CERT сообщил, что не владеет информацией о вышедших исправлениях.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.