PT-2024-9756 · Mpg123+8 · Mpg123+8

Marco Benatto

·

Publicado

2024-10-30

·

Atualizado

2025-03-17

·

CVE-2024-10573

CVSS v3.1

6.7

Média

VetorAV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
mpg123 (versões afetadas não especificadas)
Descrição
Foi encontrada uma falha de gravação fora dos limites no mpg123 ao lidar com fluxos manipulados. Ao decodificar PCM, a libmpg123 pode gravar além do fim de um buffer localizado na pilha. Consequentemente, pode ocorrer corrupção da pilha, e a execução de código arbitrário não é descartada. A complexidade necessária para explorar essa falha é considerada alta, pois a carga útil deve ser validada pelo decodificador MPEG e pelo sintetizador PCM antes da execução. Além disso, para executar o ataque com sucesso, o usuário deve examinar o fluxo, tornando o conteúdo de transmissões ao vivo na web (como rádios online) um vetor de ataque muito improvável.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

ALSA-2024:11193
ALSA-2024:11242
BDU:2024-11493
CESA-2024_11193
CVE-2024-10573
DLA-3967-1
DSA-5811-1
INFSA-2024_11193
INFSA-2024_11242
MGASA-2024-0358
OPENSUSE-SU-2024:14454-1
RHSA-2024:11193
RHSA-2024:11242
RHSA-2024_11193
RHSA-2024_11242
RLSA-2024:11242
USN-7092-1
USN-7092-2

Produtos afetados

Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Ubuntu
Mpg123