聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
本周,西门子通知客户称某些产品开发解决方案受二十多个漏洞的影响,可导致攻击者利用恶意文件执行任意代码。
这些漏洞由多个研究人员发现、由趋势科技 ZDI 和 CISA 协调发布。受影响的产品均由专注于产品生命周期管理 (PLM) 解决方案的西门子 Digital Industries Software 开发。
西门子和 CISA 为18个漏洞发布了安全公告。这些漏洞影响西门子 JT2Go(JT 数据的 3D 查看工具)和 Teamcenter Visualization(文档、2D画图和3D模型的可视化解决方案)。之后它们发布了另一份关于6个漏洞的安全公告,它们影响西门子 Solid Edge(为 3D 设计、模拟和制造提供的软件工具)。这两个安全公告中的几个漏洞存在重合之处。
其中大量漏洞是高危漏洞,可导致目标进程上下文中的任意代码执行后果。其中一个漏洞可导致信息泄露后果且已被归为中危级别。代码执行缺陷和解析某些文件类型时对用户所提供数据的不当验证有关,可触发内存损坏漏洞。要执行攻击活动,攻击者需要说服目标用户打开特殊构造的文件。
可用于触发漏洞的文件类型包括 JT、CG4、CGM、PDF、RGB、TGA、PAR、ASM、PCX、SGI 和 DFT。尽管所有漏洞的描述均类似,但它们均获得单独的 CVE 编号。
西门子已开始为受影响产品发布补丁,并为尚未接收到修复方案的版本共享应变措施。西门子还发布了多个安全公告,说明了在 SCALANCE X 工业交换机中找到的多个漏洞。这些漏洞为严重和高危等级,可导致交换机遭受拒绝服务攻击和中间人攻击。
推荐阅读
西门子 SPPA-T3000被曝多个严重漏洞,威胁全球电厂安全
原文链接
https://www.securityweek.com/tens-vulnerabilities-siemens-plm-products-allow-code-execution
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
204
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
