Maple versies tot en met 13 bevatten een kritieke kwetsbaarheid in het Maplet-framework die het mogelijk maakt voor aanvallers om embedded opdrachten automatisch uit te voeren bij het openen van een .maplet-bestand. Dit omzeilt de standaard beveiligingsbeperkingen waardoor aanvallers kwaadaardige code kunnen uitvoeren zonder interactie van de gebruiker.
Overzicht
In de Maplet-functionaliteit van Maple kunnen opdrachten worden uitgevoerd bij het openen van een .maplet-bestand. Dit gedrag maakt het mogelijk voor kwaadwillenden om schadelijke .maplet-bestanden te creëren en zodoende willekeurige code uit te voeren. Hierdoor kunnen zij systemen binnendringen en mogelijk toegang krijgen tot vertrouwelijke gegevens.
Aanbevelingen
- Beheerders moeten onmiddellijk alle systemen updaten naar een versie hoger dan 13 om deze kwetsbaarheid te verhelpen.
- Vermijd het openen van onbekende of verdachte
.maplet-bestanden.
Bronnen
Vraag en Antwoord
Wat is CVE-2010-20120?
Dit is een code-injectie kwetsbaarheid in het Maplet framework van Maple, waardoor onbedoeld opdrachten kunnen worden uitgevoerd.
Welke systemen zijn kwetsbaar voor CVE-2010-20120?
Alle Maple systemen van versie 13 en lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het is aangeraden om te updaten naar een nieuwere Maple versie dan 13.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan willekeurige code uitvoeren en mogelijk gevoelige informatie bemachtigen.
