ОАО «ИнфоТеКС» сообщает об обнаружении уязвимости CVE-2017-9606 в продуктах ViPNet Client под управлением ОС Windows и ViPNet Coordinator под управлением ОС Windows. Уязвимость была выявлена 14 июня 2017 года, ей подвержены все версии ViPNet Client и ViPNet Coordinator, до версии 4.3 (2.37273) включительно при эксплуатации на поддерживаемых версиях операционной системы Windows. Обнаруженная уязвимость отсутствует в других продуктах компании.
Указанная уязвимость позволяет пользователю, обладающему минимальными правами в операционной системе и непосредственно работающему на АРМ с установленным ПО ViPNet Client или ViPNet Coordinator сформировать поддельный файл обновлений с произвольно исполняемым кодом и разместить его в папке обновления ViPNet. Система обновлений может выполнить модифицированный файл с повышенными привилегиями.
К 30 июня 2017 будут выпущены версии продуктов ViPNet Client и ViPNet Coordinator для ОС Windows, включающие устранение указанной уязвимости.
Выпущенные версии будут сертифицированы по изменениям в соответствующих органах по сертификации.
На данный момент для устранения уязвимости рекомендуем создать замкнутую программную среду при помощи ПО ViPNet SysLocker, которое можно скачать с нашего сайта по ссылке, либо дождаться выпуска обновленной версии.
Данной уязвимости не подвержены версии продукта, соответствующие требованиям к СКЗИ класса КС3, при эксплуатации которых в обязательном порядке в соответствии с формуляром используется дополнительное ПО ViPNet Syslocker, выполняющее функцию контроля целостности среды функционирования.