CVE-2021-43620

**Nome do software vulnerável e versões afetadas:

Versões do fruity crate até a 0.2.0

Descrição:

Foi descoberta uma falha no fruity crate em que a validação de extensões de nomes de arquivos, relevante para a segurança, pode estar comprometida. Os métodos de NSString para conversão em string podem retornar um resultado parcial, pois chamam CStr::from ptr em um ponteiro para o buffer da string, que é terminado no primeiro byte nulo, o que pode não corresponder ao fim da string. Isso poderia permitir a contornagem das verificações de extensão de arquivo, por exemplo, adicionando uma extensão aceita após um byte nulo. As implementações de Display, PartialEq, PartialOrd e ToString para NSString também são afetadas.

Recomendações:

Para versões do fruity crate até a 0.2.0, considere gerar nomes exclusivos para arquivos em vez de usar nomes fornecidos pelo usuário para minimizar o risco de exploração. Como solução temporária, restrinja o uso de NSString para validação de caminho até que um patch esteja disponível. Evite usar nomes de arquivos fornecidos pelo usuário que possam conter bytes nulos para impedir a possível contornagem das verificações de extensão de arquivo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.