法執行機関が使用する通話録音ツールで多くの欠陥の一つは、それが修正されるまで、企業がソフトウェアを使用しないで推奨されるセキュリティコンサルタントによれば、ハッカーがリモートでオーディオ録音を盗むせなかった。
ソフトウェア、 ニース録音Expressは 、まだオーストリア·ベースからの諮問に応じて、いくつかのパッチのリリースは今年初めにもかかわらず、少なくとも5の脆弱性があり、SECに相談セキュリティソフトウェア監査を行い、。ソフトウェアは、コールセンターだけでなく、法執行機関に販売される。
ニース録音Expressを使用して、これらのは、それをシャットダウンする必要があり、SECはご相談と述べた。
「それは非常に徹底したセキュリティレビューは、セキュリティの専門家によって行われていると識別されたすべての問題が解決されるまで、このソフトウェアを使用しないことを相談し、SECが推奨されている「 8ページの顧問読む。
それが不可能な場合、組織は6.5 PL7、最新バージョンへの最小アップグレードでならば、SECは、ご相談と述べた。製品は、以前にも影響を受ける可能性があり、どちらも、Cybertech XPRESSとCybertech Myracleとして知られていた。ナイスシステムズは、コネチカットベースのCybertechを取得しました。
ナイスシステムズの職員はすぐにコメントは得られなかった。
SECは、その調査結果を水曜日に上場したと警告したナイスシステムズにお問い合わせください。コンサルタントは、2013年12月以来、ニースシステムと顧問の相互作用で詳述。
ナイスシステムズは5問題の解決3月と4月に2つのパッチをリリースしたが、少なくとも5つの他の重要な問題が残っている。
最悪の欠陥の1つは、認証されていない攻撃者が監視されている人の名前などのユーザアカウントのリストにアクセスする可能性があります。すなわち、その監視活動が秘密であることになっている法執行のために特に悪いかもしれません。
彼らは、変化したものとレコーディングを交換する可能性があり、ハッカーの記録のMySQLデータベースへのフルアクセスを許可することができ、いくつかのSQLインジェクションの不具合は、もあります。 MySQLは最も高いレベルのアクセス権限で実行されるため、ハッカーは、コンピュータのオペレーティングシステム上の別の攻撃を仕掛ける可能性があり、顧問は言った。
jeremy_kirk@idg.comにニュースのヒントとコメントを送ってください。 Twitterで私に従ってください。@ jeremy_kirk
Aucun commentaire:
Enregistrer un commentaire