CVE-2024-48986

Mbed OS versão 6.16.0

Foi detectada uma falha no software de análise de pacotes HCI do Mbed OS, no qual o comprimento de determinados pacotes HCI é determinado dinamicamente por meio da leitura de um byte do cabeçalho. Isso pode levar a um estouro de buffer quando a operação de gravação subsequente copia a quantidade de dados especificada no cabeçalho do pacote, o que pode exceder o comprimento do buffer alocado. O bug pode ser explorado para causar uma negação de serviço, mas não é certo que seja suficiente para derrubar o sistema e, geralmente, não pode ser explorado além disso, pois o buffer explorável é alocado dinamicamente.

Para a versão 6.16.0 do Mbed OS, como solução temporária, considere restringir o uso do software de análise HCI até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.