PT-2021-3791 · Cisco · Cisco Ip Phone Series 8800
Ang Cui
+2
·
Publicado
2021-07-07
·
Atualizado
2021-08-02
·
CVE-2021-33478
CVSS v2.0
7.2
Alta
| Vetor | AV:L/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Cisco IP Phone série 8800, versões anteriores a 07/07/2021
Descrição
O problema está relacionado à implementação da tecnologia TrustZone no microprograma do Cisco IP Phone série 8800. É causado pela falta de um mecanismo para verificar o tamanho dos dados copiados. Um invasor não autenticado e fisicamente próximo poderia executar código arbitrário no Ambiente de Execução Confiável (TEE) da TrustZone de um dispositivo afetado. A exploração só é possível quando o invasor consegue desmontar o dispositivo para controlar a tensão/corrente dos pinos do chip.
Recomendações
Para versões anteriores a 07/07/2021, atualize o firmware para uma versão lançada após 07/07/2021 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso físico ao dispositivo para minimizar o risco de exploração.
Correção
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Ip Phone Series 8800