Vulnerabilidad en MBed OS 6.16.0 (CVE-2024-48981)

Se descubrió un problema en MBed OS 6.16.0. Durante el procesamiento de paquetes HCI, el software determina dinámicamente la longitud del encabezado del paquete buscando el primer byte de identificación y comparándolo con una tabla de longitudes posibles. La función de análisis inicial, hciTrSerialRxIncoming, no descarta los paquetes con identificadores no válidos, pero tampoco establece un valor predeterminado seguro para la longitud de los encabezados de los paquetes desconocidos, lo que provoca un desbordamiento del búfer. Un atacante puede aprovechar esto para realizar una escritura arbitraria. Es posible sobrescribir el puntero a un búfer aún no asignado que se supone que debe recibir el contenido del cuerpo del paquete. Luego, se puede sobrescribir la variable de estado utilizada por la función para determinar qué estado del análisis del paquete se está produciendo actualmente. Debido a que el búfer se asigna cuando se ha copiado el último byte del encabezado, la combinación de tener una variable de longitud de encabezado incorrecta que nunca coincidirá con la variable de contador y poder sobrescribir la variable de estado con el desbordamiento de búfer resultante se puede utilizar para avanzar la función al siguiente paso mientras se omite la asignación de búfer y la escritura del puntero resultante. Los siguientes 16 bytes del cuerpo del paquete se escriben donde sea que apunte el puntero de datos dañado.