PT-2024-12507 · Gtkwave · Gtkwave
Claudio Bozzato
·
Publicado
2024-01-08
·
Atualizado
2024-04-09
·
CVE-2023-35702
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
GTKWave versão 3.3.115
Descrição
Existem várias vulnerabilidades de estouro de buffer baseadas em pilha na funcionalidade varint do FST LEB128. Um arquivo .fst especialmente criado pode levar à execução de código arbitrário. A vítima precisaria abrir um arquivo malicioso para acionar essas vulnerabilidades. Este problema diz respeito à função
fstReaderVarint32.Recomendações
Para a versão 3.3.115 do GTKWave, como solução temporária, considere desativar a função
fstReaderVarint32 até que um patch esteja disponível. Restrinja o acesso a arquivos .fst de fontes não confiáveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Memory Corruption
Stack Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gtkwave