PT-2024-24606 · Tillitis · Tillitis Tkey Signer Device Application

Volokitinss

·

Publicado

2024-04-23

·

Atualizado

2024-04-24

·

CVE-2024-32482

CVSS v3.1

2.2

Baixa

VetorAV:L/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões anteriores à 1.0.0 do aplicativo do dispositivo de assinatura Tillitis TKey
Descrição
Foi identificada uma vulnerabilidade no aplicativo do dispositivo de assinatura Tillitis TKey, uma ferramenta de assinatura ed25519, que permite a divulgação de partes dos dados do TKey na memória RAM através da interface USB. Para explorar a vulnerabilidade, um invasor precisa usar um aplicativo cliente personalizado e tocar no TKey. Nenhum segredo é divulgado.
Recomendações
Para versões anteriores à 1.0.0, atualize para a versão 1.0.0 para receber uma correção.
No momento, não há informações sobre outras soluções alternativas para este problema.

Exploit

Correção

Out of bounds Read

Time Of Check To Time Of Use

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125CWE-367

Identificadores relacionados

CVE-2024-32482
GHSA-FRQC-62HV-379P

Produtos afetados

Tillitis Tkey Signer Device Application