S.V.I S.V.I

Уязвимости в Open Design Alliance SDK влияют на Siemens, других поставщиков.

Уязвимости в Open Design Alliance SDK влияют на Siemens, других поставщиков.

Восемь уязвимостей, обнаруженных в наборе разработки программного обеспечения для чертежей (SDK) компании Open Design Alliance (ODA), влияют на продукты Siemens и, вероятно, других поставщиков.

ODA-это некоммерческая организация, которая создает SDK для инженерных приложений, включая автоматизированное проектирование (САПР), географические информационные системы (ГИС), строительство и строительство, управление жизненным циклом продукта (PLM) и Интернет вещей (IoT). На ее сайте говорится, что организация насчитывает 1200 компаний-членов по всему миру, а ее продукты используются несколькими крупными компаниями, включая Siemens, Microsoft, Bentley и Epic Games.

Мэт Пауэлл и Брайан Горенц из Инициативы Нулевого дня Trend Micro (ZDI) обнаружили, что SDK ODA Drawings SDK, предназначенный для обеспечения доступа ко всем данным в файлах дизайна .dwg и .dgn, подвержен нескольким уязвимостям, которые можно использовать, убедив целевого пользователя открыть специально созданный файл.

Исследователи ZDI обнаружили недостатки в инструменте просмотра 3D-изображений Siemens JT2Go JT, но дальнейший анализ показал, что эти проблемы на самом деле были вызваны использованием SDK Drawings SDK.

На своем веб-сайте ODA описывает SDK как “ведущую технологию для работы с ним .dwg files” и говорит, что он используется сотнями компаний в тысячах приложений. Это означает, что уязвимости, вероятно, повлияют на многие другие продукты, но SecurityWeek до сих пор не публиковала никаких рекомендаций поставщиков.

Дастин Чайлдс, менеджер по коммуникациям ZDI, сказал, что компания ожидает, что Siemens скоро выпустит патчи.

“Возможно, есть и другие поставщики, которые также пострадали, но мы не уверены, сколько других потребляют затронутый SDK”, — сказал Чайлдс SecurityWeek.

Уязвимости, оцененные как высокая и средняя степень серьезности, были описаны как выходящие за пределы, неправильная проверка и проблемы использования после освобождения. Они могут быть использованы для того, чтобы вызвать состояние отказа в обслуживании (DoS), выполнить произвольный код или получить потенциально конфиденциальную информацию, заставив целевого пользователя открыть специально созданные файлы DWG или DGN с помощью приложения, использующего SDK.

Однако Чайлдс отметил, что для того, чтобы получить полный контроль над системой, злоумышленник должен будет связать одну из уязвимостей выполнения кода с ошибкой повышения привилегий.

ODA перечисляет эти уязвимости в разделе рекомендаций по безопасности своего веб — сайта, но неясно, активно ли она информировала клиентов об этих недостатках и наличии патчей-исправления включены в версию 2022.5.

Неоднократные попытки получить дополнительную информацию и комментарии от ОПР относительно этих уязвимых мест оказались безуспешными.

Нет комментариев. Ваш будет первым!
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.