使用LabVIEW？未修补的漏洞允许黑客劫持您的计算机

LabVIEW由美国国家仪器公司开发，是一种可视化编程语言和功能强大的系统设计工具，在全球数百个领域得到应用，为工程师提供了一个构建测量或控制系统的简单环境

思科Talos Security Intelligence的安全研究人员发现LabVIEW软件中存在一个严重漏洞，使得攻击者能够在目标计算机上执行恶意代码，从而完全控制系统。

该代码执行漏洞被识别为CVE-2017-2779，可通过打开巧尽心思构建的VI文件触发，该文件是LabVIEW使用的专有文件格式。

该漏洞源于LabVIEW的RSRC段解析功能中的内存损坏问题。

调制VI文件RSRC段内的值会导致受控循环条件，从而导致任意空写。

Talos研究人员解释说：“特制的LabVIEW虚拟仪器文件（扩展名为*.vi）可能导致攻击者控制的循环条件，从而导致任意空写。”。

“攻击者控制的VI文件可用于触发此漏洞，并可能导致代码执行。”

Talos研究人员已经成功地在LabVIEW 2016版本16上测试了漏洞，但美国国家仪器拒绝将此问题视为其产品中的漏洞，并且没有计划发布任何补丁来解决缺陷。

然而，这个问题不应被忽视，因为威胁向量几乎与之前披露的许多Microsoft Office漏洞相似，在这些漏洞中，受害者在打开通过电子邮件接收或从互联网下载的恶意MS Word文件后受到了攻击。

研究人员写道：“成功破坏与物理世界交互的系统，如数据采集和控制系统，其后果可能对安全至关重要。”。

“部署此类系统的组织，即使是作为试点项目，也应意识到此类漏洞带来的风险，并充分保护系统。”

由于没有可用的补丁，LabVIEW用户只剩下一个选项—；打开通过电子邮件收到的任何VI文件时要非常小心。

有关该漏洞的更多技术细节，请访问Cisco Talos的咨询。