Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Texas Instruments SimpleLink

Fecha de publicación 30/04/2021
Importancia
5 - Crítica
Recursos Afectados
  • SimpleLink MSP432E4 SDK, versión v4.20.00.12 y anteriores;
  • SimpleLink CC32XX SDK, versión v4.30.00.06 y anteriores;
  • SimpleLink CC13X0 SDK, versiones anteriores a la v4.10.03;
  • SimpleLink CC13X2 SDK, versiones anteriores a la v4.40.00;
  • SimpleLink CC26XX SDK, versiones anteriores a la v4.40.00;
  • CC3200 SDK, versión v1.5.0 y anteriores;
  • CC3100 SDK, versión v1.3.0 y anteriores.
Descripción

David Atch y Omri Ben Bassat, de Microsoft, han reportado estas vulnerabilidades al CISA, que podrían permitir a un atacante la denegación del servicio o ejecución remota de código,

Solución

Actualizar a las últimas versiones de software.

Detalle
  • Un desbordamiento de enteros en las API de la MCU del host, al intentar conectarse a una red wifi, podría permitir a un atacante la denegación de servicio o la ejecución de código. Se ha asignado el identificador CVE-2021-22677 para esta vulnerabilidad.
  • Un desbordamiento de búfer basado en la pila, mientras se procesan las actualizaciones de firmware over-the-air desde el servidor CDN, podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-22677 para esta vulnerabilidad.
  • Un desbordamiento de enteros al analizar archivos de actualización de firmware over-the-air, podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-22675 para esta vulnerabilidad.
  • Un desbordamiento de enteros al procesar las cabeceras HTTP podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-22679 para esta vulnerabilidad.
  • Múltiples desbordamientos de enteros al procesar nombres de dominio largos, podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-22671 para esta vulnerabilidad.

Encuesta valoración