研華WebAccess軟件是研華物聯(lián)網(wǎng)應(yīng)用平臺解決方案的核心，為用戶提供一個基于HTML5技術(shù)用戶界面，實現(xiàn)跨平臺、跨瀏覽器的數(shù)據(jù)訪問體驗。使用WebAccess后，用戶可以建立一個信息管理平臺，同步提高垂直市場管理發(fā)展的效率。

研華WebAccess提供了一個基于HTML5的智能儀表板作為下一代WebAccess的人機界面。其中，小部件功能可以讓系統(tǒng)集成商通過分析圖表和圖形用儀表板編輯器來創(chuàng)建自定義信息頁面。在創(chuàng)建儀表板界面之后，最終用戶可以通過儀表板查看器來查看數(shù)據(jù)與以及可以在電腦、Mac、平板電腦和智能手機通過任何瀏覽器無縫觀看體驗。

根據(jù)美國ICS-CERT消息，8.2_20170817之前的WebAccess版本受基于堆棧的緩沖區(qū)溢出（CVE-2017-14016）漏洞和不可信的指針取消引用漏洞（CVE-2017-12719）的影響。

“WebAccess在將用戶提供的數(shù)據(jù)復(fù)制到基于堆棧的緩沖區(qū)之前缺少適當(dāng)?shù)尿炞C長度，這可能允許攻擊者在該進(jìn)程的上下文中執(zhí)行任意代碼。”ICS-CERT對緩沖區(qū)溢出漏洞進(jìn)行了解釋，該漏洞已被分類為中危漏洞。

至于第二個漏洞已經(jīng)被分類為高危漏洞，ICS-CERT警告說：“遠(yuǎn)程攻擊者能夠執(zhí)行代碼來引用程序中的指針，最終導(dǎo)致WebAccess不可用。”

趨勢科技的Zero Day Initiative（ZDI）團(tuán)隊通過Offensive Security的Steven Seeley向研華公司通報了這兩個漏洞。

ZDI尚未公布關(guān)于這兩個漏洞的細(xì)節(jié)，但目前仍存在于ZDI即將到期公布的漏洞列表中。 在這份列表中羅列出了70多個漏洞，其中包括許多高危漏洞。

ZDI計劃在11月底到12月初披露更多的安全漏洞。根據(jù)ZDI在5月份發(fā)布的一份報告顯示，研華平均需要131天的時間來修補漏洞，超過了ZDI 設(shè)定的披露期限（4個月）。

安全研究人員在過去幾年中發(fā)現(xiàn)了研華WebAccess軟件中存在多個漏洞。就在幾個月前，ICS-CERT透露，前后共計有10個，包括允許遠(yuǎn)程代碼執(zhí)行和未授權(quán)訪問的漏洞，但都已經(jīng)被研華修復(fù)。