CVE-2020-15224

Versões do Open Enclave anteriores à 0.12.0

Existe uma vulnerabilidade de divulgação de informações quando um aplicativo de enclave que utiliza as chamadas de sistema fornecidas pelo sockets.edl é carregado por um aplicativo host malicioso. Isso poderia permitir que um invasor lesse dados privilegiados da pilha do enclave, ultrapassando os limites de confiança. Para explorar essa vulnerabilidade, um invasor teria que fazer login em um sistema afetado e executar um aplicativo especialmente criado. A vulnerabilidade não permite que um invasor eleve os direitos do usuário diretamente, mas poderia ser usada para obter informações confidenciais em um enclave, potencialmente utilizadas em ataques posteriores.

Para versões anteriores à 0.12.0, os usuários precisam recompilar seus aplicativos com as bibliotecas corrigidas para se protegerem contra esse problema. Como solução temporária, considere restringir o uso das chamadas de sistema sockets.edl em aplicativos de enclave até que as bibliotecas corrigidas sejam aplicadas.