PT-2020-20374 · Google · Asylo
Kang Li
+3
·
Publicado
2020-12-15
·
Atualizado
2020-12-18
·
CVE-2020-8936
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Asylo até 0.6.0
Descrição
Uma falha de sobrescrita arbitrária de memória permite que um invasor faça uma chamada de host para o UntrustedCall. O UntrustedCall não validou o intervalo do buffer dentro de
sgx params e permitiu que o host retornasse um ponteiro que correspondia a um endereço dentro da memória do enclave. Isso permitiu que um invasor lesse valores de memória de dentro do enclave.Recomendações
Para versões do Asylo até 0.6.0, atualize para uma versão posterior à 0.6.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à função UntrustedCall para minimizar o risco de exploração.
Correção
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Asylo