DOPSoft 2

Die Schwachstelle betrifft DOPSoft 2 von Delta Electronics, eine Software zur Konfiguration und Programmierung von Bedien- und Anzeigegeräten (HMI). Der Fehler liegt in der Verarbeitung bestimmter Projektdateien: Die Software prüft die darin enthaltenen, vom Nutzer stammenden Daten nicht ausreichend, bevor sie sie auswertet. Dadurch kann es zu mehreren Schreibzugriffen außerhalb der vorgesehenen Speichergrenzen kommen (Out-of-bounds Write). Ein Angreifer kann diesen Defekt ausnutzen, indem er ein präpariertes Projektdatei-Format gestaltet und das Opfer dazu bringt, diese Datei in DOPSoft 2 zu öffnen. Gelingt das, lässt sich beliebiger Programmcode im Kontext des laufenden Prozesses ausführen, also mit den Rechten des Nutzers, der die Software gerade verwendet. Betroffen sind damit Arbeitsplätze, an denen DOPSoft 2 zur Bearbeitung von Projektdateien eingesetzt wird – der Angriff setzt voraus, dass eine manipulierte Datei geöffnet wird.