PT-2024-4251 · Espressif · Esp-Idf
Elttam
+1
·
Publicado
2024-03-25
·
Atualizado
2025-12-05
·
CVE-2024-28183
CVSS v3.1
6.1
Média
| Vetor | AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do ESP-IDF anteriores à 4.4.7
Versões do ESP-IDF anteriores à 5.2.1
Descrição
Foi descoberta uma vulnerabilidade do tipo Time-of-Check to Time-of-Use (TOCTOU) na implementação do bootloader do ESP-IDF, que poderia permitir que um invasor com acesso físico à memória flash do dispositivo contornasse a proteção anti-rollback. Esse ataque pode permitir a inicialização além de uma partição com uma versão de segurança inferior, mesmo na presença de um esquema de criptografia de flash. A vulnerabilidade requer a modificação cuidadosa do conteúdo da memória flash após a realização das verificações anti-rollback pelo bootloader.
Recomendações
Para versões do ESP-IDF anteriores à 4.4.7, atualize para a versão 4.4.7 ou posterior.
Para versões do ESP-IDF anteriores à 5.2.1, atualize para a versão 5.2.1 ou posterior.
Exploit
Correção
Time Of Check To Time Of Use
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Esp-Idf