В CNCSoft и ScreenEditor от Delta Electronics исправлены опасные уязвимости

В программных продуктах CNCSoft и ScreenEditor от китайской компании Delta Electronics исправлены опасные уязвимости. С их помощью злоумышленник может вызвать переполнение буфера в стеке и читать данные за его пределами, и, как результат, удаленно выполнить код с привилегиями администратора.

Проэксплуатировать уязвимости способен даже малоопытный хакер. Проблема затрагивает версию CNCSoft 1.00.83 и более ранние, а также версию ScreenEditor 1.00.54.

Множественные уязвимости переполнения буфера в стеке вызывают аварийное завершение работы ПО из-за отсутствия проверки вводимых пользователем данных перед их копированием из проектных файлов в стек. Проблема получила идентификатор CVE-2018-10636 и 8,8 балла из 10 по системе оценивания опасности уязвимостей CVSS v3.

Две уязвимости, связанные с чтением данных за пределами буфера, вызывают аварийное завершение работы ПО из-за отсутствия проверки вводимых пользователем данных при обработке проектных файлов. Проблема получила идентификатор CVE-2018-10598 и оценку 4,3 балла из 10 по системе оценивания опасности уязвимостей CVSS v3.