В Honeywell OPOS Suite обнаружена серьезная уязвимость

Исследователи обнаружили уязвимость переполнения буфера в Honeywell OPOS Suite – комплексе ПО, который предоставляет стандартный интерфейс программирования для объединения PoS-терминалов в единую систему под управлением ОС Windows. Honeywell OPOS Suite используется в различных торговых сетях и прочих компаниях, где для оплаты покупок применяются PoS-системы.

Как сообщается в бюллетене, опубликованном в пятницу на сайте CERT/CC, уязвимости подвержены все версии Honeywell OPOS до 1.13.4.15. Производитель уже выпустил исправление, устраняющее данную брешь.

Уязвимость существует в файлах HWOPOSScale.ocx и HWOPOSSCANNER.ocx. Поскольку в обоих случаях затрагивается один и тот же компонент, бреши присвоили лишь единичный идентификатор (CVE-2014-8269).

Уязвимость существует из-за того, что управляющие элементы не проверяют длины принимаемой строки перед тем, как скопировать ее в буфер. Удаленный пользователь может выполнить произвольный код. Для успешной эксплуатации бреши требуется, чтобы жертва перешла на вредоносную страницу в браузере или открыла вредоносный сайт.