Ppcavalcante

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreeRDP anteriores à 3.23.0 **Descrição** Uma verificação de limites ausente na função `smartcard unpack read size align()` dentro de `libfreerdp/utils/smartcard pack.c` pode provocar a queda do cliente FreeRDP ao conectar-se a um servidor RDP malicioso. Esta queda é acionada por um `WINPR ASSERT` alcançável que leva a uma condição de `abort()`. O problema ocorre em compilações onde `WITH VERBOSE WINPR ASSERT` está habilitado, o que é a configuração padrão no FreeRDP 3.22.0 e nas configurações atuais do WinPR CMake. Para ser afetado, o redirecionamento de smartcard deve ser explicitamente habilitado pelo usuário, por exemplo, usando a opção `/smartcard` ou `/smartcard-logon`. **Recomendações** Atualize para a versão 3.23.0 ou posterior do FreeRDP.

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreeRDP anteriores à 3.23.0 **Descrição** Um servidor RDP malicioso pode provocar um estouro de buffer no heap em clientes FreeRDP que utilizam o pipeline de superfície GDI, como o `xfreerdp`. Isso ocorre ao enviar um comando de superfície RDPGFX ClearCodec com um retângulo de destino fora dos limites. O manipulador `gdi SurfaceCommand ClearCodec()` não valida o retângulo do comando em relação às dimensões da superfície de destino. Isso permite que valores controlados pelo atacante, `cmd->left` e `cmd->top`, alcancem rotinas de cópia de imagem que escrevem em `surface->data` sem verificação de limites. A corrupção do ponteiro `codecs*` leva a uma chamada indireta de ponteiro de função em `NSC CONTEXT.decode` em `nsc.c:500`, resultando potencialmente no controle total do ponteiro de instrução. **Recomendações** Atualize para a versão 3.23.0 para receber a correção.

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreeRDP anteriores à 3.23.0 **Descrição** O FreeRDP é uma implementação gratuita do Protocolo de Área de Trabalho Remota. Existe uma falha no caminho de decodificação planar RLE dentro da função `planar decompress plane rle()`, onde é realizada a escrita em memória sem verificação adequada dos limites. Especificamente, é realizada a escrita em `pDstData` no endereço `((nYDst+y) * nDstStep) + (4*nXDst) + nChannel` sem verificar se `(nYDst+nSrcHeight)` cabe dentro da altura de destino ou se `(nXDst+nSrcWidth)` cabe dentro do stride de destino. Quando `TempFormat` não é igual a `DstFormat`, `pDstData` se torna `planar->pTempData`, e `nYDst` é validado apenas em relação à superfície por meio da função `is within surface()`. Um servidor RDP malicioso pode explorar isso para realizar uma escrita fora dos limites do heap com deslocamento e dados de pixel controlados pelo atacante em qualquer cliente FreeRDP que se conecte. A escrita fora dos limites pode alcançar até 132.096 bytes além do final do buffer temporário. Na heap brk, o ponteiro de função `decode` dentro de uma struct `NSC CONTEXT` adjacente pode ser sobrescrito com dados de pixel controlados pelo atacante, resultando em corrupção do fluxo de controle. **Recomendações** Versões do FreeRDP anteriores à 3.23.0 devem ser atualizadas para a versão 3.23.0 ou posterior.