Cisco Talos обнаружила уязвимость выполнения кода в LabVIEW, но разработчик не спешит выпускать патч.
Исследователями из Cisco Talos была обнаружена уязвимость (CVE-2017-2779) в платформе для разработки систем LabVIEW 2016 v.16.0, разработанной компанией National Instruments. Уязвимость позволяет вызвать повреждения памяти и выполнитьпроизволный код на системе. Для этого жертва должна открыть специально сформированный файл c расшиением .VI.
Согласно отчету Cisco Talos, уязвимость существует из-за ошибки проверки границ данных. Брешь позволяетзлоумышленнику перезаписать произвольные участки памяти на системе и выполнить произвольный код с привилегиями пользователя, запустившего уязвимое приложение. Уязвимость является достаточно опасной, поскольку ее успешная эксплуатация может позволить злоумышленнику скомпрометировать уязвимую систему.
Тем не менее, National Instruments отказалась выпускать патч, так как не считает данную проблему в своем продукте уязвимостью.
Программа LabVIEW предназначеннадля построения систем сбора данных, управления приборами и промышленной автоматизации в различных операционных системах: Windows, MacOS, Linux и Unix.
