备案控制台
探索云世界
开发者社区 安全 文章 正文

台达PLC编程软件PMSoft和WPLSoft爆出11个0Day 没有CVE没有补丁

2017-09-01 1547
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

台达PLC编程软件PMSoft和WPLSoft爆出11个0Day漏洞,美国ICS-CERT已经获知漏洞情况,台达,这些0Day漏洞经过120天后,没有看到台达发布补丁,相关信息被公开。

台达是工业自动化厂商

据其官网资料显示

台达是全球电源管理及散热方案的领导厂商,二十多年来,目前共设有广东东莞、江苏吴江、安徽芜湖、湖南郴州四个主要生产基地;二十三个研发中心 (超过3,000名研发工程师)、49 个运营网点、73个服务网点,员工总数达5万余人。台达中国区2016年的营收超过397亿人民币。

台达PLC编程软件PMSoft 0Day漏洞列表

(0Day) Delta Industrial Automation PMSoft Project File Parsing Stack-based Buffer Overflow Remote Code Execution Vulnerability

漏洞描述:

This vulnerability allows remote attackers to execute arbitrary code on vulnerable installations of Delta Industrial Automation PMSoft. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file.

The specific flaw exists within parsing of information for a TTreeView object in a new-format ppm project file. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a fixed-length stack-based buffer. An attacker can leverage this vulnerability to execute arbitrary code under the context of the current process.

缓解办法

Given the nature of the vulnerability the only salient mitigation strategy is to restrict interaction with the application to trusted files.

(0Day) Delta Industrial Automation PMSoft Project File Parsing Stack-based Buffer Overflow Remote Code Execution Vulnerability

漏洞描述:

This vulnerability allows remote attackers to execute arbitrary code on vulnerable installations of Delta Industrial Automation PMSoft. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file.

The specific flaw exists within parsing of information for a TTreeView object in a ppm project file. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a fixed-length stack-based buffer. An attacker can leverage this vulnerability to execute arbitrary code under the context of the current process.

缓解办法

Given the nature of the vulnerability the only salient mitigation strategy is to restrict interaction with the application to trusted files.

台达PLC编程软件WPLSoft 0Day漏洞列表

由于内容较多,请参加直接查看

http://www.zerodayinitiative.com/advisories/published/

delta.png



原文发布时间:2017年8月25日

本文由:zeroday发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/deltaww-pmsoft-wplsoft-0day#

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

文章标签:
安全
C语言
Perl
晚来风急
目录
相关文章
狼人2007
|
安全 Windows
MHTML中曝出0day漏洞 影响各版Windows
微软昨日证实,他们正在调查一个新的0day漏洞,该漏洞存在于MHTML中,会导致信息泄露,影响所有Windows平台,包括Windows XP、Vista、Windows 7和所有版本的Windows Server。
狼人2007
1015 0
狼人2007
|
安全 Windows
Google工程师发现公布XP漏洞 并提供攻击代码
来自TechTarget的报道称:Google工程师塔维斯·奥曼迪(Tavis Ormandy)日前公开了Windows XP的一处漏洞,该漏洞允许黑客控制用户计算机,此举导致微软很不高兴。 尽管奥曼迪已经声明,该行为只代表个人,与 Google 公司无关,但微软还是很生气。
狼人2007
744 0
行者武松
|
安全 Linux Windows
英特尔放出Linux微代码以修复Meltdown和Spectre漏洞
近日,Intel发布了最新版本的Linux处理器微代码数据文件,而这个补丁文件能够修复Intel CPU中的Spectre以及Meltdown漏洞。广大用户可以使用微代码文件来修复操作系统中目前已知的Intel CPU安全漏洞,而无需在计算机中执行BIOS更新。
行者武松
1562 0
玄学酱
|
安全 虚拟化 存储
安全更新!VMware紧急修复旗下产品代码执行高危漏洞
本文讲的是安全更新!VMware紧急修复旗下产品代码执行高危漏洞,本周,VMware紧急发布了多个修补程序,用于解决公司旗下ESXi、vCenter Server、Workstation和Fusion产品中存在的多个安全漏洞,其中甚至还包含一个高危级别漏洞。
玄学酱
1920 0
晚来风急
|
安全 API Windows
Windows内核再次出现0Day漏洞 影响win2000到win10所有版本 反病毒软件恐成瞎子
晚来风急
1259 0
晚来风急
|
安全 虚拟化 Windows
VMWARE Workstation出现多个严重漏洞 12.5.3以下版本均受影响 其它多个产品也爆出严重漏洞
晚来风急
1610 0
云栖大讲堂
|
安全 Windows
Windows家族全版本皆遭遇“高危”安全漏洞
云栖大讲堂
1035 0
晚来风急
|
安全
Juniper Junos DoS漏洞CVE-2017-2345 10.2及相关产品和平台均受影响
晚来风急
1129 0
晚来风急
|
安全
GraphicsMagick远程DoS漏洞CVE-2017-11642 目前尚未看到官方补丁
晚来风急
1057 0
晚来风急
|
安全
HPE Aruba AirWave Glass产品远程代码执行漏洞CVE-2017-8946 1.0.0及1.0.1版本均受影响
晚来风急
1258 0