CVE-2022-36063

Versões do Azure RTOS USBX anteriores à 6.1.12

O problema está relacionado a um estouro de buffer e a um subfluxo de inteiros na implementação do Azure RTOS USBX do suporte de host para USB CDC ECM, especificamente na função ux host class cdc ecm mac address get. Isso pode permitir que um invasor remoto execute código arbitrário ou cause uma negação de serviço ao definir o comprimento do descritor da string de endereço MAC como 0 ou 1, introduzindo um subfluxo de inteiro seguido por um estouro de buffer da matriz cdc ecm -> ux host class cdc ecm node id.

Para versões do Azure RTOS USBX anteriores à 6.1.12, atualize para a versão 6.1.12 ou posterior para resolver o problema. Como solução alternativa temporária, pode-se usar uma validação aprimorada do comprimento do descritor da string de endereço MAC para verificar se há valores inesperadamente pequenos. Considere restringir o acesso à função ux host class cdc ecm mac address get até que a atualização seja aplicada.