Múltiples vulnerabilidades en LabVIEW de National Instruments
Fecha de publicación 11/12/2024
Identificador
INCIBE-2024-0603
Importancia
4 - Alta
Recursos Afectados
- LabVIEW 2024: versiones Q3 (24.3f0) y anteriores;
- LabVIEW 2023: todas las versiones;
- LabVIEW 2022: todas las versiones;
- LabVIEW 2021 y anteriores: se encuentra en el final de su vida (EoL), todas las versiones están afectadas.
Descripción
Michael Heinzl ha reportado 3 vulnerabilidades de severidad alta que afectan a National Instruments LabVIEW y que de ser explotadas podrían provocar la fuga de información o ejecutar código.
Solución
Actualizar LabVIEW a las versiones:
- LabVIEW 2024: Q3 Patch 2 o posterior desde NI Package Manager;
- LabVIEW 2023: Q3 Patch 5 o posterior desde NI Package Manager;
- LabVIEW 2022: Q3 Patch 4 o posterior desde NI Package Manager.
Las versiones de LabVIEW 2021 y anteriores no tienen soporte.
Detalle
Existen vulnerabilidades de lectura fuera de límites en las funciones HeapObjMaplmpl y BuildFontMap o cuando se carga la tabla de fuentes, que podrían permitir a un atacante revelar información o ejecutar código.
Se han asignado los identificadores CVE-2024-10494, CVE-2024-10495 y CVE-2024-10496 para estas vulnerabilidades.
Listado de referencias
