Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad del componente ActiveX de Gigasoft para productos iFix HMI de General Electric

Vulnerabilidad del componente ActiveX de Gigasoft para productos iFix HMI de General Electric

Fecha de publicación: 
10/10/2018
Importancia: 
3 - Media
Recursos afectados: 
  • iFIX versiones desde 2.0 hasta la 5.0
  • iFIX versiones 5.1, 5.5 y 5.8
Descripción: 

El investigador LiMingzheng de 360 aegis ha reportado esta vulnerabilidad de control inseguro del objeto ActiveX marcado como seguro para scripting. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante originar un desbordamiento de búfer.

Solución: 

El fabricante publicó la versión 5.9 iFIX en junio de 2017 para solucionar este problema en la versión del componente Gigasoft 8.0.

General Electric recomienda a los usuarios usar solamente ActiveX con fuentes de confianza.

Detalle: 
  • Control inseguro de objeto ActiveX marcado como seguro para scripting: Se han identificado múltiples instancias de esta vulnerabilidad en el objeto ActiveX de terceros proporcionado a General Electric iFIX por Gigasoft. Sólo el uso independiente del paquete de gráficos de Gigasoft fuera del producto iFIX puede exponer a los usuarios a esta vulnerabilidad. El método reportado que afecta a Internet Explorer no está expuesto en el producto iFIX, ni se sabe si es la funcionalidad principal del producto iFIX afectada. Se ha asignado el identificador CVE–2018-17925 para esta vulnerabilidad.

Encuesta valoración

Etiquetas: