PT-2024-12616 · Gtkwave · Gtkwave
Claudio Bozzato
·
Publicado
2024-01-08
·
Atualizado
2024-04-09
·
CVE-2023-37417
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
GTKWave versão 3.3.115
Descrição
Existem várias falhas de gravação fora dos limites na funcionalidade parse valuechange do VCD no portdump. Um arquivo .vcd especialmente criado pode levar à execução de código arbitrário. A vítima precisaria abrir um arquivo malicioso para acionar essas falhas. Essa vulnerabilidade está relacionada à gravação fora dos limites quando acionada por meio do código de análise interativa do VCD na GUI.
Recomendações
Para a versão 3.3.115 do GTKWave, como solução temporária, considere desativar o código de análise interativa de VCD na GUI até que um patch esteja disponível. Evite abrir arquivos .vcd maliciosos para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Exploit
Correção
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gtkwave