CVE-2022-1642

Versões do Swift anteriores à 5.6.2 para Linux e Windows

Um programa que utilize o swift-corelibs-foundation está vulnerável a um ataque de negação de serviço causado por uma fonte potencialmente maliciosa que gere um documento JSON contendo uma incompatibilidade de tipos. Este problema é causado pela interação entre o protocolo Codable da biblioteca padrão do Swift e a classe JSONDecoder. Quando um tipo que adota Codable solicita a inicialização de um campo com um valor inteiro, a classe JSONDecoder utiliza um contêiner com tipo removido e métodos de acesso diferentes para tentar converter um valor JSON correspondente e produzir um inteiro. No caso de o valor JSON ser um literal numérico com uma parte de ponto flutuante, o JSONDecoder utilizava métodos de apagamento de tipo diferentes durante a validação do que durante a conversão final do valor, produzindo uma falha determinística devido a essa incompatibilidade. A classe JSONDecoder é frequentemente incorporada por frameworks web populares baseados em Swift para analisar o corpo de solicitações HTTP e realizar validação básica de tipos, tornando o ataque de baixo esforço. O ataque não apresenta riscos de confidencialidade ou integridade por si só, mas falhas inesperadas podem levar a violações de invariantes nos serviços, potencialmente aumentando o risco.

Para resolver o problema, atualize para o Swift 5.6.2 para Linux e Windows e, em seguida, recompile e reimplante o software. A nova versão do Swift inclui um pacote swift-corelibs-foundation atualizado