当前位置:安全资讯 >> 全文

飞利浦健康产品中存在35个缺陷

发布时间:2018-3-6 7:43 标签: 物联网,医疗
分享到 0

飞利浦通知消费者称,公司正在着手修复几十个漏洞问题。这些漏洞影响为医疗组织机构设计的可视化和分析解决方案 InteliSpace Portal

漏洞共获35 CVE 编号

飞利浦指出,InteliSpace Portal 的版本7.0.x 8.0.x 受和不安全的 Windows 服务权限、遗留加密和远程桌面访问功能的漏洞问题影响。和这些漏洞相关的 CVE 编号共有35个。

ICS-CERT 在安全公告中将这些安全漏洞描述为输入验证缺陷,可导致远程代码执行或 DoS 攻击、可导致未经授权访问敏感信息的信息泄露问题、可用于权限提升或代码执行的访问控制弱点、本地代码执行和权限提升缺陷、因遗留调试问题导致的代码执行漏洞问题以及多个密码问题。

虽然其中一些漏洞看似仅存在于飞利浦产品中,但其实很多漏洞影响第三方组件。例如,多个远程代码执行漏洞、信息泄露和 DoS 缺陷和 Windows SMB 存在关联,包括可用于 WannaCry 勒索软件攻击中的“永恒之蓝”缺陷。

其它缺陷影响微软远程桌面协议 (RDP) 和微软 Office。密码弱点包括在过去就已识别出的 POODLEBEAST 等漏洞,其中还有一个漏洞源自2004年。

利用代码已遭公开

虽然很多漏洞的利用代码已遭公开,但它们并非仅针对飞利浦的产品,而且飞利浦表示并未发现攻击的存在。

飞利浦公司将在未来几个月内发布补丁。该公司表示目前还在测试操作系统更新,目的是在确定它们不影响产品稳定性的情况下进行安装。在补丁推出之前,消费者可应用公司推出的权变措施。

 ISCV 曾被曝出现漏洞

1月份,飞利浦曾通知消费者注意影响 IntelliSpace 心血管 (ISCV) 心脏影像和信息管理系统的认证问题。

一名消费者告知飞利浦公司称,当 ISCV 系统和全屏 (Kiosk) 模式下的电子病历 (EMR) 一起使用并配置 Windows 身份验证时,用户可能无法在使用完该软件后正确地注销。

该缺陷可导致拥有访问系统权限的恶意人员以合法的 EMR 用户的凭证进行登录,并且获取或修改敏感信息。

飞利浦当时表示将在 3.1.0 版本中修复这个漏洞。同时公司建议用户在访问系统后关闭浏览器。另外,将配置更改为不使用 Windows 身份验证也可解决该问题。

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.securityweek.com/philips-working-patches-35-flaws-healthcare-product
参与讨论,请先 登录 | 注册

用户评论