CVE-2024-41721

FreeBSD (versões afetadas não especificadas)

O problema está relacionado a uma validação de limites insuficiente no código USB, o que poderia levar a uma leitura fora dos limites na pilha (heap), resultando potencialmente em uma gravação arbitrária e na execução remota de código. Essa vulnerabilidade afeta a funcionalidade de emulação XHCI do hipervisor bhyve. O processo bhyve normalmente é executado com privilégios de root, aumentando o impacto potencial. Embora o bhyve opere em um ambiente isolado usando o Capsicum, o que limita os recursos disponíveis, o risco de exploração permanece. Todas as versões suportadas do FreeBSD são afetadas, sendo os sistemas que utilizam emulação XHCI particularmente vulneráveis.

Para resolver o problema, atualize seu sistema FreeBSD para uma versão que inclua a correção lançada em 19 de setembro de 2024. Após aplicar as atualizações ou patches, é crucial reiniciar todos os sistemas operacionais convidados que utilizam dispositivos USB com emulação XHCI para garantir que as correções tenham efeito. Como solução alternativa temporária, considere restringir o uso da emulação XHCI no hipervisor bhyve até que um patch esteja disponível.