物(wù)聯網應用平台研華WebAccess軟件爆任意代碼執行漏洞

　　研華WebAccess軟件是研華物(wù)聯網應用平台解決方案的核心，爲用戶提供一(yī)個基于HTML5技術用戶界面，實現跨平台、跨浏覽器的數據訪問體(tǐ)驗。使用WebAccess後，用戶可以建立一(yī)個信息管理平台，同步提高垂直市場管理發展的效率。

　　研華WebAccess提供了一(yī)個基于HTML5的智能儀表闆作爲下(xià)一(yī)代WebAccess的人機界面。其中(zhōng)，小(xiǎo)部件功能可以讓系統集成商(shāng)通過分(fēn)析圖表和圖形用儀表闆編輯器來創建自定義信息頁面。在創建儀表闆界面之後，最終用戶可以通過儀表闆查看器來查看數據與以及可以在電(diàn)腦、Mac、平闆電(diàn)腦和智能手機通過任何浏覽器無縫觀看體(tǐ)驗。

　　根據美國ICS-CERT消息，8.2_20170817之前的WebAccess版本受基于堆棧的緩沖區溢出(CVE-2017-14016)漏洞和不可信的指針取消引用漏洞(CVE-2017-12719)的影響。

　　“WebAccess在将用戶提供的數據複制到基于堆棧的緩沖區之前缺少适當的驗證長度，這可能允許攻擊者在該進程的上下(xià)文中(zhōng)執行任意代碼。”ICS-CERT對緩沖區溢出漏洞進行了解釋，該漏洞已被分(fēn)類爲中(zhōng)危漏洞。

　　至于第二個漏洞已經被分(fēn)類爲高危漏洞，ICS-CERT警告說：“遠程攻擊者能夠執行代碼來引用程序中(zhōng)的指針，最終導緻WebAccess不可用。”

　　趨勢科技的Zero Day Initiative(ZDI)團隊通過Offensive Security的Steven Seeley向研華公司通報了這兩個漏洞。

　　ZDI尚未公布關于這兩個漏洞的細節，但目前仍存在于ZDI即将到期公布的漏洞列表中(zhōng)。 在這份列表中(zhōng)羅列出了70多個漏洞，其中(zhōng)包括許多高危漏洞。

　　ZDI計劃在11月底到12月初披露更多的安全漏洞。根據ZDI在5月份發布的一(yī)份報告顯示，研華平均需要131天的時間來修補漏洞，超過了ZDI 設定的披露期限(4個月)。

　　安全研究人員(yuán)在過去(qù)幾年中(zhōng)發現了研華WebAccess軟件中(zhōng)存在多個漏洞。就在幾個月前，ICS-CERT透露，前後共計有10個，包括允許遠程代碼執行和未授權訪問的漏洞，但都已經被研華修複。