2019年01月16日,国家信息安全漏洞共享平台(CNVD)向我司通报了“组态王7.5sp2存在拒绝服务漏洞”。
漏洞描述:Kingview7.5sp2在非正常操作情况下关闭画面的时候,采用wcslen 判读字符串长度,而没有验证字符串是否可用,造成拒绝服务漏洞。
正常操作:运行后如果存在已经打开的画面,选择:画面->关闭,弹出关闭画面对话框,这时随意点击对话框里的任意地方都不会出现问题,然后选择已打开画面,确定关闭。
非正常操作:当运行态没有画面打开的时候,选择:画面->关闭,弹出关闭画面窗口,这时只要点击图中红色框中的白色文本框,运行态就会崩溃。
而实际情况是,所有的组态王监控系统运行时都有画面打开,所以实际中几乎不会出现此种故障。
针对此漏洞,我司及时采取措施对漏洞进行修复,安全补丁文件详情如下:
序号 | 漏洞名称 | 发现时间 | 补丁发布时间 | 补丁文件 | 影响产品 | 修复方法 |
1 | 组态王7.5sp2存在拒绝服务漏洞 | 2019.01 | 2019.01 | KV7.5 SP2 | 替换安装路径下相同文件 |
为有效应对以上漏洞带来的安全威胁,建议还在使用KingView老版本的用户及时下载补丁文件进行修复。
北京金沙3983www下载发展有限公司
2019年01月18日
