«

Microchip ASF 中的严重缺陷使物联网设备面临远程代码执行风险

时间:2024-9-24 15:57     作者:之参博客     分类: 网络相关



Microchip 高级软件框架 (ASF) 中披露了一个严重的安全漏洞,如果成功利用,可能会导致远程代码执行。

该漏洞的编号为CVE-2024-7490,CVSS 评分为 9.5(满分 10.0)。该漏洞被描述为 ASF 实现 tinydhcp 服务器时出现的基于堆栈的溢出漏洞,源于缺乏足够的输入验证。

计算机应急响应小组 (CERT) 协调中心 (CERT/CC)在一份公告中表示:“ASF 代码库的所有公开示例中都存在一个漏洞,该漏洞允许特制的 DHCP 请求导致堆栈溢出,从而导致远程代码执行。”

鉴于该软件不再受支持且植根于以物联网为中心的代码,CERT/CC 警告称,该漏洞“很可能在野外许多地方出现”。

该问题影响 ASF 3.52.0.2574 及该软件的所有先前版本,该机构还指出,tinydhcp 软件的多个分支也可能容易受到该漏洞的影响。

目前尚无修复或缓解措施来解决 CVE-2024-7490,除非将 tinydhcp 服务替换为另一个不存在相同问题的服务。

与此同时,SonicWall Capture Labs 详细介绍了影响联发科 Wi-Fi 芯片组的严重零点击漏洞 ( CVE-2024-20017,CVSS 9.8),由于越界写入问题,该漏洞可能无需任何用户交互即可导致远程代码执行。

该公司表示: “受影响的版本包括联发科 SDK 7.4.0.1 及更早版本,以及 OpenWrt 19.07 和 21.02。” “这意味着各种各样的设备都存在漏洞,包括路由器和智能手机。”

“该漏洞是一种缓冲区溢出,它是由于攻击者直接从受控的数据包数据中获取长度值而没有进行边界检查,并将其放入内存副本中造成的。这种缓冲区溢出会导致越界写入。”

联发科于 2024 年 3 月发布了针对该漏洞的补丁,但随着截至 2024 年 8 月 30 日概念验证 (PoC) 漏洞公开发布,利用该漏洞的可能性有所增加。

标签: Microchip ASF 物联网