飞利浦心血管仪器软件爆任意程式码执行漏洞，恐泄露病患资讯,,图片来源: 飞利浦

原标题：飞利浦心血管仪器软件爆任意程式码执行漏洞，恐泄露病患资讯

示意图，与新闻事件无关。 图片来源: 飞利浦 美国国土安全部旗下的工业控制系统网络紧急应变小组（ICS-CERT）周二警告，飞利浦IntelliSpace△Cardiovascular心血管影像及资讯管理系统出现两项漏洞，可能导致任意程...

示意图，与新闻事件无关。

图片来源:

飞利浦

美国国土安全部旗下的工业控制系统网络紧急应变小组（ICS-CERT）周二警告，飞利浦IntelliSpace△Cardiovascular心血管影像及资讯管理系统出现两项漏洞，可能导致任意程式码执行，进而让外人窃取医疗影像及病患诊断资料。

根据ICS-CERT的安全公告，编号CVE-2018-14787的漏洞影响IntelliSpace△Cardiovascular系统2.x及之前版本，及伺服器软件Xcelera△4.1以前的版本。飞利浦安全公告指出，在上述版本的伺服器上包含20项Windows服务，其可执行档位于骇客具有写入权限的资料夹。这些Windows服务可以本机管理员帐号执行，一旦有人将之置换成恶意程式，则该恶意程式也能以本机管理员帐号或系统权限执行。更糟的是，一个技术普通的攻击者就能开采本项漏洞。该漏洞CVSS△v3 基准分7.3分，属于高度风险漏洞。

第二项漏洞CVE-2018-14789则是不带引号搜寻路径或element漏洞（unquoted△search△path△or△element△vulnerability）。受本漏洞影响的产品为IntelliSpace△Cardiovascular系统3.1及之前版本，及伺服器软件Xcelera△4.1以前的版本。在这些伺服器上，有16项Windows服务路径名称不带括号。由于这些服务是以本机管理员权限执行，并以机码开头，因此路径能让攻击者植入有本机管理员权限的可执行档。本漏洞CVSS△v3 基准分4.2分，属于中度风险漏洞。

成功开采上述两项漏洞都能让攻击者取得管理员权限，进而开启包含可执行档的资料夹，这时攻击者即可执行后门、木马等任意程式码，包括窜改、取得或删除病患诊断资料或医学影像。不过飞利浦表示，攻击者需为经验证的使用者，并需能本机存取ISCV/Xcelera伺服器。但预设状态下，只有管理员才有本机存取的权限。

飞利浦预计10月释出IntelliSpace△Cardiovascular△3.2.0更新版加以修补，届时客户会经平日的服务和经销通路取得更新。

橙山网（Csnd.net）简评：图片来源: 飞利浦 美国国土安全部旗下的工业控制系统网络紧急应变小组（ICS-CERT）周二警告，飞利浦IntelliSpace△Cardiovascular心血管影像及资讯管理系统出现两项漏洞，可能