Kritiek lek in gerber-viewer laat aanvaller willekeurige code uitvoeren

[Captain Kirk]

Onderzoekers van Cisco hebben in de gerber-viewer Gerbv verschillende kritieke kwetsbaarheden ontdekt waardoor een aanvaller willekeurige code op systemen kan uitvoeren en een beveiligingsupdate is niet beschikbaar. Gerbv is een opensourceprogramma waarmee gebruikers gerber-bestanden kunnen bekijken. Deze bestanden bevatten informatie over Printed Circuit Board (PCB)-ontwerpen.

Sommige PCB-fabrikanten gebruiken software zoals Gerbv in hun webinterface als tool om gerber-bestanden naar afbeeldingen om te zetten. Gebruikers kunnen gerber-bestanden uploaden naar de fabrikant, die vervolgens via Gerbv worden omgezet naar afbeeldingen. Deze afbeeldingen zijn vervolgens in de browser te bekijken, zodat gebruikers kunnen zien of hun upload aan de verwachtingen voldoet.

Gerbv bevat verschillende kwetsbaarheden waardoor een aanvaller via een speciaal geprepareerd gerber-bestand een "out-of-bounds write" kan veroorzaken, wat het uitvoeren van willekeurige code mogelijk maakt. De impact van vier van de in Gerbv gevonden beveiligingslekken, CVE-2021-40401, CVE-2021-40391, CVE-2021-40393 en CVE-2021-40394, zijn op een schaal van 1 tot en met 10 met een 10.0 beoordeeld.

Gerbv is als losse gui-applicatie te gebruiken of als library. Daarnaast zijn de kwetsbaarheden ook aanwezig in geforkte versie van de gerber-viewer. De onderzoekers werkten samen met de Gerbv-ontwikkelaars, maar een beveiligingsupdate is vooralsnog niet beschikbaar.

 

bron: https://www.security.nl