一、漏洞概述
Siemens Solid Edge是德国西门子(Siemens)公司的一款三维CAD软件。该软件可用于零件设计、装配设计、钣金设计、焊接设计等行业。
Siemens Solid Edge 存在缓冲区错误漏洞,该漏洞源于受影响的应用程序在解析特制 STP 文件时存在内存损坏漏洞。这可能允许攻击者在当前进程的环境中执行代码。
以下是漏洞详情:
二、受影响的产品
以下版本的西门子存在这些问题:
l Solid Edge SE2023:V223.0 Update 3 之前的所有版本
l Solid Edge SE2023:V223.0 Update 2 之前的所有版本
三、严重等级
六方云超弦实验室评级为:高危
四、处置方法
1、西门子建议用户使用以下解决方法和缓解措施,可以降低风险:
l Solid Edge SE2023:更新到 V223.0 更新 3或更高版本。
l Solid Edge SE2023:更新到 V223.0 更新 2或更高版本。
l 避免在 Solid Edge 中打开来自未知来源的不受信任的文件。
2、加强访问控制,使用六方云工业防火墙、工业网闸等产品进行隔离保护
3、使用六方云工业卫士阻止不受信任的网络和主机访问并做好白名单防护
4、使用六方云神探及时发现未知威胁
五、参考链接
https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-01
六方云超弦实验室将持续跟踪安全情报变化,及时发布相关信息,若有需要,请联系400-6060-270
-END-
