Se han descubierto dos vulnerabilidades en Panasonic
Network Camera View y Recorder, reportadas por Ariele Caltabiano (kimiya) y
Andrea Micalizzi (rgod) respectivamente. Estas vulnerabilidades permitirían a
atacantes remotos ejecutar código arbitrario en el sistema vulnerable.
Panasonic
Network Camera View y Recorder permiten al usuario grabar y reproducir en su PC
cualquier imagen con sonido a través de su cámara de red conectada con LAN o
internet. Soporta formatos MPEG-4 y Motion JPEG, además de la norma H.264 que
proporciona compresiones de vídeo de alta calidad.
Detalle e Impacto de las
vulnerabilidades detectadas
- La primera vulnerabilidad, con identificador CVE-2014-8755, se debe a un problema en la capacidad para anular una dirección arbitraria en la memoria en el método 'GetImageDataPrint' del control ActiveX WebVideoCam. Dicho error podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web o un archivo, especialmente manipulados.
- La segunda vulnerabilidad, con identificador CVE-2014-8756, se debe a que el método 'GetVOLHeader' puede ser usado para escribir bytes nulos en direcciones arbitrarias de memoria. Esto permite que un atacante remoto pueda ejecutar código arbitrario a través de una página web o bien un archivo, especialmente manipulados.
- Las vulnerabilidades se han reportado en versiones Panasonic Network Camera View 3, 4 y Panasonic Network Camera Recorder anteriores a 4.04R03.
Se recomienda actualizar a versiones superiores.
- http://security.panasonic.com/pss/security/library/howto_update_NCV.html
- http://panasonic.net/pcc/cgi-bin/products/netwkcam/download_us/tbookmarka_m.cgi?m=%20&mm=2010073014092324
- Panasonic
Network Camera http://panasonic.net/pcc/support/netwkcam/
