Спецпроекты

Знаменитая система аналитики IBM Watson позволяет захватывать устройства и красть данные

ПО Безопасность

IBM выпустила исправления для нескольких уязвимостей в аналитической системе Watson и используемых ею реализациях Java. Подробностей о том, как их эксплуатировать, вендор разглашать не стал.

Ну, кто ж вам доктор?

Корпорация IBM выпустила предупреждение о нескольких серьезных уязвимостях, выявленных в ее знаменитой аналитической системе Watson и уже исправленных в последнем обновлении. Все эти уязвимости так или иначе связаны с использованием Java.

Наиболее серьезной из них является CVE-2018-2633, которая позволяет злоумышленнику захватывать контроль над целевым устройством при наличии доступа к локальной сети, в котором оно расположено. В описании указывается, что успешная эксплуатация устройства требует «взаимодействия иного, нежели атакующий, пользователя». То есть, речь идет о том, что без привлечения внимания конечного юзера воспользоваться этой уязвимостью невозможно.

И даже при пользовательском «соучастии» эксплуатировать уязвимость будет весьма непросто. Но учитывая ценность устройств, на которых запускается Watson, для потенциальных злоумышленников, уязвимость рекомендуется исправить как можно скорее. При успешной атаке злоумышленник может получить контроль над локальными приложениям JavaSE, JavaSEEmbedded и JRockit в OracleJavaSE.

DoS и вывод данных

Другая уязвимость — CVE-2018-2603 — позволяет вызвать падение системы, на которой запущен Watson, с помощью DoS-атаки. К сожалению, IBM не стал раскрывать подробности об этой уязвимости, ограничившись лишь констатацией, что эксплуатация этого бага проще, чем у CVE-2018-2633.

watson600.jpg
Уязвимости в IBM Watson позволяют захватывать устройства и красть данные

Три оставшиеся уязвимости — CVE-2018-2579, CVE-2018-2588 и CVE-2018-2602 — могут приводить к несанкционированному раскрытию конфиденциальной информации. Никаких особых подробностей о способах эксплуатации, опять-таки, не приводится.

«В том, что IBM предпочитает не раскрывать подробностей о способах эксплуатации уязвимостей, возможно, есть некоторый смысл, — считает Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — По крайней мере, это отсечет не самых целеустремленных и квалифицированных киберзлоумышленников. Но только их: более серьезные профессионалы рано или поздно выяснят, как воспользоваться новообнаруженными багами, так что обновления необходимо установить как можно оперативнее».



Взгляд месяца

Идея внутренней разработки себя не оправдала

Наталия Оржевская

директор центра управления командами, «Диасофт»

Стратегия месяца

Периферийные вычисления перемещаются в центр внимания