CVE-2025-61588

Nome do Software Vulnerável e Versões Afetadas risc0-zkvm-platform versões 2.0.2 e anteriores risc0-aggregation versões anteriores a 0.9 risc0-zkos-v1compat versões anteriores a 2.1.0 risc0-zkvm versões 3.0.0-rc.1 até 3.0.1

Descrição O software contém uma falha relacionada à segurança de memória na função sys read. Quando o guest do zkVM chama sys read, o host pode manipular a resposta para escrever em locais de memória arbitrários dentro do guest. Isso pode levar à execução arbitrária de código dentro do ambiente guest, comprometendo a solidez do programa guest. A função sys read é usada pelo guest para solicitar entrada, tornando todos os programas guest compilados com as versões afetadas potencialmente vulneráveis. O problema origina-se de aritmética de ponteiros vulnerável na função sys read.

Recomendações risc0-zkvm-platform versões anteriores a 2.1.0 risc0-aggregation versões anteriores a 0.9 risc0-zkos-v1compat versões anteriores a 2.1.0 risc0-zkvm versões 3.0.0-rc.1 até 3.0.1 devem ser atualizadas para a versão 2.3.2 ou 3.0.3. Atualize as referências a risc0-zkvm no Cargo.toml para os especificadores de versão "2.3.2" ou "3.0.3". Atualize as referências a risc0-build no Cargo.toml para os especificadores de versão "2.3.2" ou "3.0.3". Recompile seu aplicativo, incluindo o guest. Atualize quaisquer aplicativos que usam o ID da imagem deste guest com o ID da imagem recém-compilado.