Argitalpen data: 2022/04/27 

Garrantzia: Kritikoa 

Kaltetutako baliabideak:  

Kaltetutako produktuen ondorengo zerrenda ez da osoa eta eguneratuz joan daiteke produktu gehiago identifikatzen badira: 

• VUE PACS, 12.1.5, 12.2.1, 12.2.5 eta 12.2.8 bertsioak. 

• VUE RIS. 11.3 eta 11.5 bertsioak. 

Philips Remote Services Network (RSN, PRS) erabiltzen duten bezeroen kasuan, Philipsen RSN sistema guztiak babestuta daude ahultasun honen aurka, eta bezeroei gomendatzen zaie PRSa ez deskonektatzea, horrek Philipsen zerbitzu ekipoei eragin bailiezaieke beharrezkoa den berehalako edozein laguntza proaktibo ematerakoan, esate baterako partxeak urrunetik aplikatzea. 

Azalpena:  

BugHunter010 (@CyberKunlun) ikertzaileak Microsoft Windowsen Remote Procedure Call Runtime liburutegiak duen RCE erako ahultasun kritiko baten berri eman du, Philips produktuetan erabiltzen dena. Ahultasun hau arrakastaz baliatuz gero, autentifikatu gabeko urruneko erasotzaile batek sistemaren kontrola eskura lezake. 

Konponbidea:  

Microsoftek apirileko bere segurtasun eguneraketaren parte modura dagoeneko argitaratua du ahultasun honetarako partxe bat. 

Xehetasuna:  

Ahultasun hau baliatu ahal izateko erasotzaile batek bereziki diseinatutako RPC dei bat bidali beharko luke RPC host batera. Horrek kodearen urruneko exekuzioa eragin lezake zerbitzariaren aldean, RPC zerbitzuak dituen baimen berdinekin. Ahultasun horretarako CVE-2022-26809 identifikatzailea esleitu da.