IBM випустила попередження про серйозні вразливості, виявлені в аналітичній системі IBM Watson

Корпорація IBM випустила попередження про кілька серйозних уразливостей, виявлених у її знаменитій аналітичній системі Watson і вже виправлених в останньому оновленні. Всі ці вразливості так чи інакше пов'язані з використанням Java.

Найсерйознішою з них є CVE-2018-2633, яка дозволяє зловмиснику захоплювати контроль над цільовим пристроєм за наявності доступу до локальної мережі, в якому вона розташована. В описі вказується, що успішна експлуатація пристрою вимагає «взаємодії іншого, ніж атакуючий користувача». Тобто йдеться про те, що без привернення уваги кінцевого користувача скористатися цією вразливістю неможливо.

І навіть за користувальницької «співучасті» експлуатувати вразливість буде дуже непросто. Але з огляду на цінність пристроїв, на яких запускається Watson, для потенційних зловмисників, вразливість рекомендується виправити якнайшвидше. При успішній атаці зловмисник може отримати контроль над локальними програмами JavaSE, JavaSEEmbedded та JRockit у OracleJavaSE.

Інша вразливість - CVE-2018-2603 - дозволяє викликати падіння системи, на якій запущено Watson, за допомогою DoS-атаки. На жаль, IBM не став розкривати подробиці про цю вразливість, обмежившись лише констатацією, що експлуатація цього бага простіше, ніж у CVE-2018-2633.

Три вразливості, що залишилися — CVE-2018-2579, CVE-2018-2588 і CVE-2018-2602 — можуть призводити до несанкціонованого розкриття конфіденційної інформації. Жодних особливих подробиць про способи експлуатації, знов-таки, не наводиться.

«У тому, що IBM воліє не розкривати подробиці про способи експлуатації вразливостей, можливо, є певний сенс, — вважає експерт з інформаційної безпеки компанії. — Принаймні, це відсіче не цілеспрямованих і кваліфікованих кіберзловмисників. Але тільки їх: серйозніші професіонали рано чи пізно з'ясують, як скористатися нововиявленими багами, тому оновлення необхідно встановити якомога оперативніше».

Інші новини