PT-2022-24914 · Microsoft · Azure Rtos Usbx
Publicado
2022-11-04
·
Atualizado
2022-11-07
·
CVE-2022-39344
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Azure RTOS USBX anteriores à 6.1.12
Descrição
A funcionalidade USB DFU UPLOAD no Azure RTOS USBX pode ser utilizada para provocar um estouro de buffer, resultando na sobrescrita do conteúdo da memória. Em casos específicos, isso pode permitir que um invasor contorne recursos de segurança ou execute código arbitrário. A implementação da função
ux device class dfu control request impede o estouro de buffer durante o processamento do comando DFU UPLOAD quando o estado atual é UX SYSTEM DFU STATE DFU IDLE.Recomendações
Para versões anteriores à 6.1.12, atualize para a versão 6.1.12 para resolver o problema.
Como solução alternativa temporária, considere adicionar a verificação
UPLOAD LENGTH em todos os estados possíveis para evitar o estouro de buffer.Exploit
Correção
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Azure Rtos Usbx