Эксперты не могут публично разгласить подробности о брешах в связи с отсутствием исправления.
Директор отдела технологий компании по обеспечению безопасности для SAP-систем ERPScan Александр Поляков был вынужден отказаться от публичного разглашения подробностей о нескольких опасных уязвимостей в SAP Afaria – программном комплексе для управления мобильными устройствами. Об этом сообщает издание The Register.
Как заявил Поляков в интервью изданию, производитель был уведомлен об уязвимостях в своем продукте примерно год назад. С тех пор компания так и не выпустила исправление, из-за чего специалист не может сообщить подробности о брешах. По его словам, предприятия, использующие Afaria, сталкиваются с риском хищения данных.
«Уязвимости достаточно опасны, и их не так просто исправить, - заявил Поляков. – Тем не менее, мы не можем разгласить подробности о них, поскольку в SAP до сих пор не до конца их исправили».
ИБ-эксперт также собирался рассказать о брешах в приложении SAP Electronic Medical Records Unwired, одну из которых недавно пытались исправить в очередном обновлении. Она позволяла злоумышленнику получить доступ к важным медицинским записям о пациентах. По словам Полякова, также существовала вторая уязвимость, с помощью которой злоумышленники могли заставить приложение подключаться к вредоносным серверам. В результате хакеры получали полный доступ ко всем медицинским сведениям о пользователях.
Первая уязвимость была исправлена еще в октябре 2013 года, но устранение второй бреши заняло почти два года. При этом Поляков указывал, что их исправление не является сложной задачей.
Источник: securitylab.ru
Комментариев нет:
Отправить комментарий