Американское Агентство по кибербезопасности и защите инфраструктуры, организованное при Министерстве внутренней безопасности США (DHS CISA), предупредило о 15 уязвимостях, затрагивающих медицинские продукты Philips Vue.

Многие баги присутствуют в сторонних компонентах, но все они влияют на продукцию Philips Clinical Collaboration Platform Portal (Vue PACS), включая MyVue, Vue Speech и Vue Motion. Так, из 15 найденных уязвимостей только 7 относятся непосредственно к продукции Philips, а остальные баги затрагивают такие сторонние компоненты, как Redis, 7-Zip, Oracle Database, jQuery, Python и Apache Tomcat.

Четыре уязвимости оцениваются как критические, а еще четыре имеют высокий рейтинг опасности. Недостатки в сторонних компонентах были выявлены в период с 2012 по 2020 год, но все проблемы, связанные с самими продуктами Philips, получили идентификаторы CVE в 2021 году.

Эксперты говорят, что эти уязвимости связаны с неправильной проверкой вводимых данных, различными ошибками памяти, некорректной аутентификацией, небезопасной и неправильной инициализацией ресурсов, использованием криптографических ключей с истекшим сроком действия, использованием слабых криптографических алгоритмов, некорректным использованием механизмов защиты, проблемами целостности данных, XSS, ненадежной защитой учетных данных и передачей конфиденциальной информации открытым текстом.

«Успешная эксплуатация этих уязвимостей может позволить неавторизованному лицу или процессу перехватить, просмотреть или изменить данные, получить доступ к системе, выполнить произвольный код, установить неавторизованное программное обеспечение или повлиять на целостность данных таким образом, что это отрицательно скажется на конфиденциальности, целостности и доступности всей системы», — говорят в CISA.

По данным экспертов, некоторые из этих уязвимостей уже исправлены, но патчи для других будут доступны не ранее первого квартала 2022 года.

2 комментария

  1. Аватар

    0d8bc7

    11.07.2021 в 16:41

    Вроде, считается, что индустрия не может себе позволить вылизывать каждый байтик. Поэтому разработку стремятся упростить, сократив количество «человеко-часов». В результате имеем то, что имеем.
    И пофиг индустрии, если кто-то из-за этого пострадает. В капитализме индустрия обычно занимается тем, что зарабатывает для себя деньги. А приводить свою работу к совершенству, будучи префекционистом, можно до бесконечности (хотя можно и не до бесконечности, но в данном случае могут быть тонкости).
    Хотя можно вылизывать свой продукт уже в продакшене. Но кто будет заниматься этим, когда ждут новые проекты? А новые проекты ждут, потому что нельзя вот так просто взять и отдать (явно или неявно) проект конкурентам. А это именно конкуренты, а не партнёры, и отдать нельзя, потому что люди и группы людей действуют друг против друга.
    А потом кому-то не нравится, что существуют баги в медицинском оборудовании и прочих серьёзных вещах.
    ¯\_(ツ)_/¯
    Но вот зато про дырявость ВОЕННЫХ технологий я ни разу не слышал. Надеюсь, что просто плохо слушал, потому что должна же справедливость хотя бы в какой-то мере работать в таких вещах.

  2. Аватар

    Andrey_Vladimirovich

    12.07.2021 в 20:51

    Интересно, о каких уязвимостях идёт речь, когда упоминается архиватор 7-Zip?

Оставить мнение