Vulnerabilidad en Mio (CVE-2024-27308)

Mio es una librería Metal I/O para Rust. Cuando se utilizan canalizaciones con nombre en Windows, mio, en algunas circunstancias, devolverá tokens no válidos que corresponden a canalizaciones con nombre que ya se han dado de baja del registro de mio. El impacto de esta vulnerabilidad depende de cómo se utilice mio. Para algunas aplicaciones, los tokens no válidos pueden ignorarse o provocar una advertencia o un bloqueo. Por otro lado, para las aplicaciones que almacenan punteros en tokens, esta vulnerabilidad puede resultar en un use-after-free para los usuarios de Tokio, esta vulnerabilidad es grave y puede resultar en un use-after-free en Tokio. La vulnerabilidad es específica de Windows y solo puede ocurrir si utiliza canalizaciones con nombre. Otros recursos de IO no se ven afectados. Esta vulnerabilidad se ha solucionado en mio v0.8.11. Todas las versiones de mio entre v0.7.2 y v0.8.10 son vulnerables. Tokio es vulnerable cuando estás usando una versión vulnerable de mio Y estás usando al menos Tokio v1.30.0. Las versiones de Tokio anteriores a la v1.30.0 ignorarán los tokens no válidos, por lo que no son vulnerables. Las bibliotecas vulnerables que utilizan mio pueden solucionar este problema detectando e ignorando tokens no válidos.