Pedro Pinto

**Nome do Software Vulnerável e Versões Afetadas** Microsoft HoloLens 1 (Windows Holographic) versões 10.0.17763.3046 e anteriores Microsoft HoloLens 2 (Windows Holographic) versões 10.0.22621.1244 e anteriores **Descrição** O manipulador de solicitações de API de pareamento no Microsoft HoloLens permite que invasores remotos causem uma Negação de Serviço ao enviar muitas solicitações através do framework do Portal do Dispositivo, resultando em consumo de recursos e tornando o dispositivo inutilizável. **Recomendações** Para Microsoft HoloLens 1 (Windows Holographic) versões 10.0.17763.3046 e anteriores, atualize para uma versão posterior à 10.0.17763.3046 para resolver o problema. Para Microsoft HoloLens 2 (Windows Holographic) versões 10.0.22621.1244 e anteriores, atualize para uma versão posterior à 10.0.22621.1244 para resolver o problema. Como solução temporária, considere restringir o acesso ao framework do Portal do Dispositivo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “use after free” (UAF) no kernel do Linux. Ela ocorre quando um qdisc ingress ou clsact ativo do tipo antigo, com um bloco tc compartilhado, é posteriormente substituído por outra instância de ingress ou clsact, fazendo com que o tcx entry seja liberado prematuramente. A sequência que desencadeia o UAF envolve a criação de um namespace de rede, a alocação de um tcx entry e, em seguida, a substituição do qdisc, o que libera o tcx entry vinculado anteriormente. Posteriormente, quando o namespace de rede é fechado, ele acessa o tcx entry já liberado, levando à UAF. A correção adequada consiste em transformar o booleano miniq active em um contador, garantindo que o tcx entry seja liberado no momento correto. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.