Vulnerabilidad de ejecución de código en i-SENS SmartLog Diabetes Management Software

Fecha de publicación: 
08/09/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • SmartLog Diabetes Management Software, en su versión 2.4.0 y anteriores.

Descripción: 

El investigador independiente Mark Cross ha identificado en el producto de i-SENS una vulnerabilidad de ruta de busqueda no controlada, cuya explotación puede permitir a un atacante local ejecutar arbitrariamente código en el dispositivo afectado.

Solución: 

La compañía ha publicado la actualización de software 2.4.1 la cual soluciona dicha vulnerabilidad. Puedes encontrar la actualización en esta dirección web.

Detalle: 

La vulnerabilidad identificada puede ser explotada mediante la localización en una ruta de búsqueda no controlada de un archivo DLL especialmente manipulado. Si el archivo DLL es cargado antes de ser validado, un atacante puede ejecutar arbitrariamente código en el sistema. Se ha asignado el identificador CVE-2017-13993 para esta vulnerabilidad, la cual solamente puede ser explotada de forma manual y no en remoto.