Múltiples vulnerabilidades en VT-Designer de INVT Electric

Fecha de publicación 30/11/2018
Importancia
3 - Media
Recursos Afectados
  • VT-Designer versión 2.1.7.31
Descripción

Ariel Caltabiano, en colaboración con ZeroDay initiative de Trend Micro, ha reportado múltiples vulnerabilidades, que podrían permitir a un atacante remoto bloquear el programa o ejecutar código.

Solución
  • INVT Electric todavía no ha publicado una solución para estas vulnerabilidades
Detalle
  • Los objetos se completan con la información suministrada por el usuario a través de un archivo, sin haber comprobado previamente su validez, lo que podría permitir al atacante escribir información en ubicaciones de memoria conocidas, pudiendo bloquear el programa o ejecutar código de forma remota. Se ha reservado el identificador CVE-2018-18987 para esta vulnerabilidad.
  • El programa lee el contenido de un archivo que ya está en memoria en otro búfer basado en memoria dinámica (heap), lo que podría permitir el bloqueo del programa o la ejecución remota de código. Se ha reservado el identificador CVE-2018-18983 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Advisory (ICSA-18-333-01) INVT Electric VT-Designer
Etiquetas