CVE-2024-32883

MCUboot (versões afetadas não especificadas)

A vulnerabilidade diz respeito ao MCUboot, um bootloader seguro para microcontroladores de 32 bits, que utiliza uma estrutura TLV (tag-length-value) para representar os metadados da imagem. Essa estrutura é dividida em seções protegidas e desprotegidas, com entradas TLV protegidas incluídas na assinatura da imagem para impedir adulterações. No entanto, o código não consegue distinguir entre entradas TLV que deveriam ser protegidas e aquelas que não deveriam, permitindo que um invasor adicione entradas TLV desprotegidas que deveriam ser protegidas. As principais entradas TLV protegidas incluem a indicação de dependência e o registro de inicialização. Um invasor poderia injetar um valor de dependência, fazendo com que uma imagem que, de outra forma, seria aceitável fosse rejeitada, ou injetar um registro de inicialização, permitindo potencialmente que uma imagem pareça ter propriedades que não deveria ter.

Como solução temporária, considere desativar a funcionalidade do registro de inicialização até que um patch esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.