Múltiples vulnerabilidades en Alpha5 y Frenic Loader de Fuji Electric
- Alpha5 Loader
- Frenic Loader
Michael Flanders y Ghirmay Desta, de Zero Day Initiative, han reportado varias vulnerabilidades de tipo desbordamiento de búfer y lectura fuera de límites que afectan a los productos Alpha5 y Frenic Loader de Fuji Electric. Un potencial atacante podría ejecutar código de manera remota o conseguir información sensible.
Dada la naturaleza de las vulnerabilidades la única medida de mitigación posible es restringir la interacción de la aplicación solo entre ficheros de confianza.
[Actualización 15/02/2019] Fuji Electric ha lanzado una nueva versión de firmware para los productos FRENIC Loader afectados.
Todas estas vulnerabilidades requieren de la interacción del usuario para ser explotadas debido a que es necesario visitar una página maliciosa o abrir un fichero malicioso.
- Desbordamiento de búfer: El fallo ocurre en el momento de procesar ficheros C5V, AP5 o FNC debido a la falta de validación de la longitud de los datos proporcionados por el usuario antes de ser copiados a un búfer de longitud fija. Un potencial atacante podría llevar a cabo una ejecución remota de código o conseguir información privilegiada valiéndose de esta vulnerabilidad.
- Lectura fuera de límites: El fallo ocurre durante el procesado de ficheros FNC debido a la falta de validación de la longitud de los datos proporcionados por el usuario, dando lugar a una lectura fuera del búfer asignado. Un potencial atacante podría obtener información sensible de instalaciones vulnerables.
Se han reservado los siguientes identificadores para estas vulnerabilidades CVE-2018-14794, CVE-2018-14788, CVE-2018-14790, CVE-2018-14798 y CVE-2018-14802.