Уязвимость в oFono, эксплуатируемая через SMS
Дата публикации:Thu, 21 Dec 2023 11:12:33 +0300
В развиваемом компанией Intel открытом телефонном стеке oFono, используемом для организации осуществления звонков, передачи данных через сотового оператора и отправки SMS в таких платформах, как Tizen, Ubuntu Touch, Mobian, Maemo, postmarketOS и Sailfish/Aurora, выявлены две уязвимости, позволяющие организовать выполнение кода при обработке специально оформленных SMS-сообщений. Уязвимости устранены в выпуске oFono 2.1.
Обе уязвимости вызваны отсутствием должной проверки размера внешних данных в коде декодирования SMS-сообщений в формате PDU, что можно использовать для записи данных за пределы выделенного буфера. Первая уязвимость (CVE-2023-4233) проявляется в функции sms_decode_address_field(), а вторая (CVE-2023-4234) в decode_submit_report().
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=60326