Разработчик отказался исправлять уязвимость в LabVIEW

Разработчик отказался исправлять уязвимость в LabVIEW

Cisco Talos обнаружила уязвимость выполнения кода в LabVIEW, но разработчик не спешит выпускать патч.

image

Исследователями из Cisco Talos была обнаружена уязвимость (CVE-2017-2779) в платформе для разработки систем LabVIEW 2016 v.16.0, разработанной компанией National Instruments. Уязвимость позволяет вызвать повреждения памяти и выполнить произволный код на системе. Для этого жертва должна открыть специально сформированный файл c расшиением .VI.

Согласно отчету Cisco Talos, уязвимость существует из-за ошибки проверки границ данных. Брешь позволяет злоумышленнику перезаписать произвольные участки памяти на системе и выполнить произвольный код с привилегиями пользователя, запустившего уязвимое приложение. Уязвимость является достаточно опасной, поскольку ее успешная эксплуатация может позволить злоумышленнику скомпрометировать уязвимую систему.

Тем не менее, National Instruments отказалась выпускать патч, так как не считает данную проблему в своем продукте уязвимостью.

Программа LabVIEW предназначенна для построения систем сбора данных, управления приборами и промышленной автоматизации в различных операционных системах: Windows, MacOS, Linux и Unix.

 


Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle