PT-2024-12640 · Gtkwave · Gtkwave
Claudio Bozzato
·
Publicado
2024-01-08
·
Atualizado
2024-04-09
·
CVE-2023-37573
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
GTKWave versão 3.3.115
Descrição
O problema está relacionado a várias vulnerabilidades do tipo “use-after-free” na funcionalidade de realocação do VCD get vartoken. Um arquivo .vcd especialmente criado pode levar à execução de código arbitrário quando aberto pela vítima, potencialmente por meio do código de análise de VCD do recoder da GUI.
Recomendações
Para a versão 3.3.115 do GTKWave, considere evitar o uso do código de análise VCD do recoder da GUI até que uma correção esteja disponível. Como solução alternativa temporária, restrinja a abertura de arquivos .vcd de fontes não confiáveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gtkwave