Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Alpha5 y Frenic Loader de Fuji Electric

Múltiples vulnerabilidades en Alpha5 y Frenic Loader de Fuji Electric

Fecha de publicación: 
27/09/2018
Importancia: 
5 - Crítica
Recursos afectados: 
  • Alpha5 Loader
  • Frenic Loader
Descripción: 

Michael Flanders y Ghirmay Desta, de Zero Day Initiative, han reportado varias vulnerabilidades de tipo desbordamiento de búfer y lectura fuera de límites que afectan a los productos Alpha5 y Frenic Loader de Fuji Electric. Un potencial atacante podría ejecutar código de manera remota o conseguir información sensible.

Solución: 

Dada la naturaleza de las vulnerabilidades la única medida de mitigación posible es restringir la interacción de la aplicación solo entre ficheros de confianza.

[Actualización 15/02/2019] Fuji Electric ha lanzado una nueva versión de firmware para los productos FRENIC Loader afectados.

Detalle: 

Todas estas vulnerabilidades requieren de la interacción del usuario para ser explotadas debido a que es necesario visitar una página maliciosa o abrir un fichero malicioso.

  • Desbordamiento de búfer: El fallo ocurre en el momento de procesar ficheros C5V, AP5 o FNC debido a la falta de validación de la longitud de los datos proporcionados por el usuario antes de ser copiados a un búfer de longitud fija. Un potencial atacante podría llevar a cabo una ejecución remota de código o conseguir información privilegiada valiéndose de esta vulnerabilidad.
  • Lectura fuera de límites: El fallo ocurre durante el procesado de ficheros FNC debido a la falta de validación de la longitud de los datos proporcionados por el usuario, dando lugar a una lectura fuera del búfer asignado. Un potencial atacante podría obtener información sensible de instalaciones vulnerables.

Se han reservado los siguientes identificadores para estas vulnerabilidades CVE-2018-14794, CVE-2018-14788, CVE-2018-14790, CVE-2018-14798 y CVE-2018-14802.

Encuesta valoración

Etiquetas: