美國工業控制系統網絡應急響應小組（ICS-CERT）攜手趨勢科技（Trend Micro公司）的零日計劃（簡稱ZDI）披露了多項對三菱電機E-Designer引擎（一款用于對E1000人機界面（簡稱HMI）的編程工具）產生影響的多項高危安全漏洞。

昵稱為“rgod”的安全研究人員安德里亞·米卡利茲（Andrea Micalizzi）發現，E-Designer Build 344的7.52版本中存在多項安全漏洞，可被用于實施遠程代碼執行及拒絕服務（簡稱DoS）攻擊。

這位專家確定了三種缺陷類型：

基于堆棧的緩沖區溢出漏洞（CVE-2017-9638）；

基于堆的緩沖區溢出漏洞（CVE-2017-9636）；

以及外界寫入bug（CVE-2017-9634）。

米卡利茲總計發現了六項堆棧緩沖區溢出漏洞以及五項堆緩沖區溢出漏洞，且會影響到某驅動程序配置文件處理過程當中進行初始化的多個組件。

問題在于，此流程無法正確驗證用戶所提供數據的長度，而是直接將其復制至固定長度緩沖區; 這意味著攻擊者能夠作為管理員執行任意代碼。為了實現攻擊效果，黑客需要誘導目標用戶打開惡意文件或者網頁。

這位研究人員發現的兩項外界寫入缺陷則源自項目特定文件（.mpa）內特定部分的處理方式。這些缺陷同樣會導致遠程代碼執行。

ZDI方面已經針對這13項安全漏洞逐一發布了處理建議。而且全部漏洞皆被評為高危級別，即CVSS評分機制中的9分以上。

根據ZDI的說法，這些安全缺陷已經于2016年5月末被上報至三菱方面，但咨詢意見于本月才剛剛公布。

三菱公司還沒有針對E-Designer發布補丁，因為該產品業已停產。相反，其建議客戶使用三菱旗下的新產品GT Works以替代由E-Designer開發的人機界面，或者在防火墻后的安全網絡當中使用E-Designer。

ICS-CERT方面建議用戶將控制系統安置在防火墻之后，并將其與業務網絡相隔離，同時在需要進行遠程訪問時確保使用VPN。