飞利浦病患监控设备中被曝多个严重漏洞

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

研究人员从飞利浦生产的病患监控设备中找到了多个严重漏洞。目前补丁尚未推出，飞利浦已提供了一些缓解措施。

Medigate 公司的研究人员从飞利浦 IntelliVue 病患监视器（MP 和 MX 系列）和Avalon 胎儿监护系统（FM20、FM30、FM40 和FM50）中共找到了三个缺陷。Medigate、飞利浦和 ICS-CERT 都公布了问题说明。

其中最严重的漏洞评分是8.3，可导致未经认证的攻击者访问并写入目标设备内存。一个类似缺陷导致未认证攻击者读取内存，不过它的危害程度为“中等”。

另外一个高危漏洞暴露“回声”服务，可导致攻击者触发栈溢出问题。

Medigate 指出，这些漏洞可导致远程未认证攻击者写入设备内存，从而造成远程代码执行。利用如遭成功可导致攻击者读和/或写入内存，从而引发拒绝服务问题、病患医疗信息遭暴露以及病患数据完整性遭损坏。

飞利浦公司在安全公告中指出，目前尚未收到关于漏洞遭利用的报告，也未发现特别针对这些漏洞的公开利用代码。该公司还指出，要利用这些漏洞，要求具有“深入的技术知识和技能”以及拥有访问托管受影响设备的本地局域网的权限。

今年早些时候，飞利浦通知用户称，用于医疗组织机构的可视化和分析解决方案 IntelliSpace Portal 中存在几十个漏洞。

https://www.securityweek.com/serious-flaws-found-philips-patient-monitoring-devices