PT-2022-1744 · Insyde · Insydeh2O
Publicado
2022-01-05
·
Atualizado
2022-03-29
·
CVE-2021-45969
CVSS v3.1
8.2
Alta
| Vetor | AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel InsydeH2O de 5.1 a 05.16.24
Versões do kernel InsydeH2O de 5.2 a 05.26.24
Versões do kernel InsydeH2O de 5.3 a 05.35.24
Versões do kernel InsydeH2O 5.4 a 05.43.24
Versões do kernel InsydeH2O 5.5 a 05.51.24
Descrição
Existe uma vulnerabilidade no ramo SMM (System Management Mode) do componente AhciBusDxe no InsydeH2O, que registra um manipulador SWSMI que não verifica ou valida suficientemente o ponteiro do buffer alocado (a localização CommBuffer+8). Este problema está relacionado a um estouro de buffer na memória, que pode ser explorado para executar código arbitrário no sistema alvo.
Recomendações
Para as versões do kernel do InsydeH2O 5.1 a 05.16.24, atualize para a versão 05.16.25 ou posterior.
Para as versões do kernel do InsydeH2O 5.2 a 05.26.24, atualize para a versão 05.26.25 ou posterior.
Para as versões do kernel InsydeH2O 5.3 a 05.35.24, atualize para a versão 05.35.25 ou posterior.
Para as versões do kernel InsydeH2O 5.4 a 05.43.24, atualize para a versão 05.43.25 ou posterior.
Para as versões do kernel InsydeH2O de 5.5 a 05.51.24, atualize para a versão 05.51.25 ou posterior.
Correção
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Insydeh2O