飞利浦医疗产品被爆35个漏洞，利用代码已公开

飞利浦通知消费者称，公司正在着手修复几十个漏洞问题。这些漏洞影响为医疗组织机构设计的可视化和分析解决方案 InteliSpace Portal。

漏洞共获35个 CVE 编号

飞利浦指出，InteliSpace Portal 的版本7.0.x 和 8.0.x 受和不安全的 Windows 服务权限、遗留加密和远程桌面访问功能的漏洞问题影响。和这些漏洞相关的 CVE 编号共有35个。

ICS-CERT 在安全公告中将这些安全漏洞描述为输入验证缺陷，可导致远程代码执行或 DoS 攻击、可导致未经授权访问敏感信息的信息泄露问题、可用于权限提升或代码执行的访问控制弱点、本地代码执行和权限提升缺陷、因遗留调试问题导致的代码执行漏洞问题以及多个密码问题。

虽然其中一些漏洞看似仅存在于飞利浦产品中，但其实很多漏洞影响第三方组件。例如，多个远程代码执行漏洞、信息泄露和 DoS 缺陷和 Windows SMB 存在关联，包括可用于 WannaCry 勒索软件攻击中的“永恒之蓝”缺陷。

其它缺陷影响微软远程桌面协议 (RDP) 和微软 Office。密码弱点包括在过去就已识别出的 POODLE、BEAST 等漏洞，其中还有一个漏洞源自2004年。

利用代码已遭公开

虽然很多漏洞的利用代码已遭公开，但它们并非仅针对飞利浦的产品，而且飞利浦表示并未发现攻击的存在。

飞利浦公司将在未来几个月内发布补丁。该公司表示目前还在测试操作系统更新，目的是在确定它们不影响产品稳定性的情况下进行安装。在补丁推出之前，消费者可应用公司推出的权变措施。

ISCV 曾被曝出现漏洞

1月份，飞利浦曾通知消费者注意影响 IntelliSpace 心血管 (ISCV) 心脏影像和信息管理系统的认证问题。

一名消费者告知飞利浦公司称，当 ISCV 系统和全屏 (Kiosk) 模式下的电子病历 (EMR) 一起使用并配置 Windows 身份验证时，用户可能无法在使用完该软件后正确地注销。

该缺陷可导致拥有访问系统权限的恶意人员以合法的 EMR 用户的凭证进行登录，并且获取或修改敏感信息。

飞利浦当时表示将在 3.1.0 版本中修复这个漏洞。同时公司建议用户在访问系统后关闭浏览器。另外，将配置更改为不使用 Windows 身份验证也可解决该问题。

本文由360代码卫士翻译自SecurityWeek

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。