CVE-2020-27484

Garmin Forerunner 235, versões anteriores à 8.20

O problema está relacionado a um estouro de inteiro no componente ConnectIQ TVM. Para explorar essa vulnerabilidade, um invasor deve enviar um aplicativo ConnectIQ malicioso para a loja ConnectIQ. O interpretador do programa ConnectIQ falha ao verificar se há estouro ao alocar a matriz para a instrução NEWA, resultando em uma primitiva de leitura/gravação restrita em todo o espaço de endereços MAX32630. Uma exploração bem-sucedida permitiria que um aplicativo da loja ConnectIQ escapasse e realizasse atividades fora do ambiente restrito de execução de aplicativos.

Para versões do Garmin Forerunner 235 anteriores à 8.20, atualize para a versão 8.20 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir a instalação de aplicativos ConnectIQ de fontes não confiáveis para minimizar o risco de exploração.