Múltiples vulnerabilidades en cardiógrafos PageWriter de Philips
Fecha de publicación 17/08/2018
Importancia
3 - Media
Recursos Afectados
- PageWriter TC10, TC20, TC30, TC50, TC70 todas las versiones anteriores a mayo de 2018.
Descripción
Philips ha reportado varias vulnerabilidades de tipo validación incorrecta de los datos de entrada y uso de contraseñas embebidas en sus cardiógrafos PageWriter. Una explotación exitosa de estas vulnerabilidades podría dar lugar a desbordamientos de búfer o a permitir a un atacante acceder y modificar ajustes en el dispositivo.
Solución
Philips tiene planeada una actualización para corregir estas vulnerabilidades a mediados de 2019.
Philips también ha proporcionado la siguiente información con respecto a un sistema operativo que ya no está respaldado por el fabricante:
Detalle
- El dispositivo PageWriter no realiza ninguna validación de los datos introducidos por el usuario. Esto puede dar lugar a vulnerabilidades de desbordamiento de búfer o ataques de formato de string. Se ha asignado el CVE-2018-14799 para esta vulnerabilidad.
- Un atacante que descubra la contraseña embebida de superusuario y acceso físico, puede utilizarla para acceder y modificar todas las configuraciones en el dispositivo, así como reestablecer las contraseñas existentes. Se ha asignado el identificador CVE-2018-14801 para esta vulnerabilidad.
Listado de referencias
Etiquetas