CVE-2024-8443
NiskieCVSS 2.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
W bibliotece libopensc w sterowniku OpenPGP wykryto podatność przepełnienia bufora sterty. Specjalnie spreparowane urządzenie USB lub karta inteligentna z złośliwymi odpowiedziami na APDU podczas procesu rejestracji karty za pomocą narzędzia pkcs15-init może prowadzić do odczytu/zapisu poza dozwolonym obszarem, co potencjalnie umożliwia wykonanie dowolnego kodu.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do zdalnego wykonania kodu w kontekście aplikacji korzystającej z libopensc, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych uwierzytelniających.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę OpenSC do wersji, w której załatano tę podatność. Ograniczyć użycie narzędzia pkcs15-init tylko do zaufanych urządzeń i kart.
Oryginalny opis (angielski, źródło NVD)
A heap-based buffer overflow vulnerability was found in the libopensc OpenPGP driver. A crafted USB device or smart card with malicious responses to the APDUs during the card enrollment process using the `pkcs15-init` tool may lead to out-of-bound rights, possibly resulting in arbitrary code execution.

