Honeywell HMIWeb böngésző puffer túlcsordulásos sérülékenység

CH azonosító

CH-7537

Angol cím

Honeywell HMIWeb Browser Buffer Overflow Vulnerability

Felfedezés dátuma

2012.09.09.

Súlyosság

Kritikus

Érintett rendszerek

Building Solutions (HBS)
Environmental Combustion and Control (ECC) SymmetrE
HMIWeb Browser
Honeywell
Process Solutions (HPS)

Érintett verziók

Honeywell Process Solutions (HPS) Experion Releases R400.x, R31x, R30x, and R2xx
Honeywell Building Solutions (HBS) Enterprise Building Manager
Honeywell Environmental Combustion and Control (ECC) SymmetrE R400, R410.1, and R410.1

Összefoglaló

Az összes Honeywell HMIWeb böngészőt érintő sérülékenységet jelentettek, amelyet kihasználva a nem hitelesített támadók tetszőleges kódot futtathatnak a sérülékeny rendszeren.

Leírás

A sérülékenységet Honeywell HMIWeb Browser HSCDSPRenderDLL ActiveX vezérlő puffer túlcsordulásos hibája okozza, amely lehetővé teszi egy nem hitelesített támadó számára, távolról tetszőleges kódot futtatni a sérülékeny rendszeren. A jelentés szerint a sérülékenység kihasználásához átlagos képesség elegendő.

Megoldás

Honeywell Process Solutions (HPS) and Honeywell Building Solutions (HBS) kiadta a sérülékenység javítására alkalmas frissítést, amely letölthető a www.honeywellprocess.com weboldalon keresztül.

További óvintézkedések:

  • Ne használja a Station node-ot, az Internethez történő csatlakozásra, azért hogy a weben böngésszen.
  • Amennyiben egy Station node csatlakozik az Internethez, úgy ne használja a Station-t vagy az Internet Explorer-t webböngészésre, vagy korlátozza ezek használatát csak a megbízható weboldalak elérésére.

További javaslatok a kockázatok csökkentésére:

  • Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
  • A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
  • Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!