Múltiples vulnerabilidades en FvDesigner de Fatek

Fecha de publicación 26/02/2021
Importancia
4 - Alta
Recursos Afectados

FvDesigner, versión 1.5.76 y anteriores.

Descripción

Francis Provencher {PRL} y rgod, en colaboración con ZDI de Trend Micro, han reportado 5 vulnerabilidades, todas de severidad alta, que podrían permitir a un atacante leer/modificar información, ejecutar código arbitrario o bloquear la aplicación.

Solución

Fatek es consciente del problema y está desarrollando una solución. Para más información, contactar con Fatek por correo electrónico o por teléfono: +886-2-2808-2192.

Hasta entonces, CISA recomienda aplicar las siguientes medidas de protección básicas:

Detalle

Un atacante podría crear un archivo de proyecto, especialmente diseñado, que le permitiría realizar una ejecución de código arbitrario si aprovechase alguna de las siguientes vulnerabilidades:

  • Se ha identificado un problema de uso de memoria después ser liberada (use after free) en el procesamiento de los archivos de proyecto. Se ha asignado el identificador CVE-2021-22662 para esta vulnerabilidad.
  • Un puntero no inicializado podría ser explotado mientras la aplicación procesa archivos de proyecto. Se ha asignado el identificador CVE-2021-22670 para esta vulnerabilidad.
  • El producto afectado es vulnerable a un desbordamiento del búfer basado en la pila (stack) mientras se procesan los archivos de proyecto. Se ha asignado el identificador CVE-2021-22666 para esta vulnerabilidad.
  • El producto afectado es vulnerable a una escritura fuera de límites al procesar archivos de proyecto. Se ha asignado el identificador CVE-2021-22683 para esta vulnerabilidad.
  • El producto afectado es vulnerable a una lectura fuera de límites al procesar archivos de proyecto. Se ha asignado el identificador CVE-2021-22638 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-21-056-02) Fatek FvDesigner
Etiquetas