Знаменитая система аналитики IBM Watson позволяет захватывать устройства и красть данные
01 апр 2019 11:40 #79111
от ICT
ICT создал тему: Знаменитая система аналитики IBM Watson позволяет захватывать устройства и красть данные
Ну, кто ж вам доктор? Корпорация IBM выпустила предупреждениео нескольких серьезных уязвимостях, выявленных в ее знаменитой аналитическойсистеме Watson иуже исправленных в последнем обновлении. Все эти уязвимости так или иначесвязаны с использованием Java. Наиболее серьезной из нихявляется CVE-2018-2633,которая позволяет злоумышленнику захватывать контроль над целевым устройствомпри наличии доступа к локальной сети, в котором оно расположено. В описанииуказывается, что успешная эксплуатация устройства требует «взаимодействияиного, нежели атакующий, пользователя». То есть, речь идет о том, что безпривлечения внимания конечного юзера воспользоваться этой уязвимостьюневозможно. И даже припользовательском «соучастии» эксплуатировать уязвимость будет весьма непросто.Но учитывая ценность устройств, на которых запускается Watson, для потенциальных злоумышленников, уязвимостьрекомендуется исправить как можно скорее. При успешной атаке злоумышленникможет получить контроль над локальными приложениям JavaSE, JavaSEEmbedded и JRockit в OracleJavaSE. DoS и выводданных Другая уязвимость — CVE-2018-2603 — позволяетвызвать падение системы, на которой запущен Watson, с помощью DoS-атаки. К сожалению, IBM не стал раскрывать подробности об этойуязвимости, ограничившись лишь констатацией, что эксплуатация этого бага проще,чем у CVE-2018-2633.
Уязвимости в IBM Watson позволяют захватывать устройства и красть данные Три оставшиеся уязвимости— CVE-2018-2579,CVE-2018-2588 и CVE-2018-2602 — могутприводить к несанкционированному раскрытию конфиденциальной информации. Никакихособых подробностей о способах эксплуатации, опять-таки, не приводится. «В том, что IBM предпочитает нераскрывать подробностей о способах эксплуатации уязвимостей, возможно, естьнекоторый смысл, — считает Михаил Зайцев,эксперт по информационной безопасности компании SECConsultServices. — По крайней мере, это отсечет не самыхцелеустремленных и квалифицированных киберзлоумышленников. Но только их: болеесерьезные профессионалы рано или поздно выяснят, как воспользоватьсяновообнаруженными багами, так что обновления необходимо установить как можно оперативнее». Короткая ссылка на материал: [url]#[/url]
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.