Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en LabVIEW de National Instruments

Fecha de publicación 11/12/2024
Identificador
INCIBE-2024-0603
Importancia
4 - Alta
Recursos Afectados
  • LabVIEW 2024: versiones Q3 (24.3f0) y anteriores;
  • LabVIEW 2023: todas las versiones;
  • LabVIEW 2022: todas las versiones;
  • LabVIEW 2021 y anteriores: se encuentra en el final de su vida (EoL), todas las versiones están afectadas.
Descripción

Michael Heinzl ha reportado 3 vulnerabilidades de severidad alta que afectan a National Instruments LabVIEW y que de ser explotadas podrían provocar la fuga de información o ejecutar código.

Solución

Actualizar LabVIEW a las versiones:

  • LabVIEW 2024: Q3 Patch 2 o posterior desde NI Package Manager;
  • LabVIEW 2023: Q3 Patch 5 o posterior desde NI Package Manager;
  • LabVIEW 2022: Q3 Patch 4 o posterior desde NI Package Manager.

Las versiones de LabVIEW 2021 y anteriores no tienen soporte.

Detalle

Existen vulnerabilidades de lectura fuera de límites en las funciones HeapObjMaplmpl y BuildFontMap o cuando se carga la tabla de fuentes, que podrían permitir a un atacante revelar información o ejecutar código.

Se han asignado los identificadores CVE-2024-10494, CVE-2024-10495 y CVE-2024-10496 para estas vulnerabilidades.