Az ICS-CERT tegnap publikált bejelentése alapján a Panasonic FPWIN Pro PLC programozó szoftverében több hibát talált Steven Seeley biztonsági kutató. A hibák az FPWIN Pro alábbi verzióit érinti:

- FPWIN Pro version 5.x,
- FPWIN Pro version 6.x,
- FPWIN Pro version 7.122 és korábbi verziók

A sérülékenységeket az alábbi hibák okozzák:

- Heap-based buffer overflow
- Access of uninitialized pointer
- Out-of-bounds write
- Type confusion

A fenti sérülékenységeket csak lokálisan és csak felhasználói interakción keresztül lehet kihasználni, ezért mind a négy hiba viszonylag alacsony pontszámot, 4,2-t kapott a CVSSv3 alapján.

A hibákat a gyártó a 7.130-as verzióban javította, az 5.x verziókhoz, mivel már elérték a támogatási időszakuk végét, nem készül javítás, a 6.x verziókhoz pedig csak 2016 szeptemberéig van gyártói támogatás, ezért az ezeket a verziókat használó szervezeteknek a Panasonic azt tanácsolja, hogy frissítsenek újabb (7.x) verzióra.

Az ICS-CERT szokás szerint ad néhány tanácsot, amik alkalmazásával a javítás telepítéséig is csökkenteni lehet a sérülékenységekből származó kockázatokat:

- Ne kattintson kéretlen e-mail-ben érkezett linkre vagy csatolmányra!
- A felhasználók biztonságtudatosságát fejleszteni kell, többek között az e-mail-es csalások, a social engineering és az adathalász támadások témaköreiben.

További részleteket az ICS-CERT bejelentése tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-16-131-01