IBM’in Windows makinelerine yönelik terminal öykünücüsü Kişisel İletişim (PCOM), kritik bir güvenlik açığına karşı yamalanmalıdır.
Yazılım, uzaktan kod yürütmeye (RCE) ve yerel ayrıcalık yükseltmeye karşı savunmasız olan bir Windows hizmeti içerir.
IBM’in CVE-2024-25029’a ilişkin tavsiye belgesinde “Güvenlik açığı, hedef bilgisayara ağ erişimi olan, ayrıcalığı olmayan herhangi bir kullanıcının NT AUTHORITY\SYSTEM bağlamında tam ayrıcalıklarla komutları çalıştırmasına izin veriyor” diye açıklandı.
“Bu, düşük ayrıcalıklı bir saldırganın etkilenen sistemlere yanal olarak geçmesine ve ayrıcalıklarını yükseltmesine olanak tanır.”
Hata, PCOM’un 14.0.6’dan 15.0.1’e kadar olan sürümlerini etkiliyor ve IBM’in tavsiye belgesinde, yararlanılabilirliğin “bilinmediği” belirtildi.
PCOM, Windows kullanıcılarının ana bilgisayarlara erişmesini sağlamak için SNA desteğiyle sanal terminal emülasyonu sağlar ve IBM’in ana bilgisayar erişim istemci paketi (HACP), ana bilgisayar bütünleştirme çözümü, ana bilgisayar erişim dönüştürme hizmetleri (HATS) ve isteğe bağlı ana bilgisayar (HOD) ile birlikte gönderilir.