Múltiples vulnerabilidades en productos Texas Instruments SimpleLink
Fecha de publicación 30/04/2021
Importancia
5 - Crítica
Recursos Afectados
- SimpleLink MSP432E4 SDK, versión v4.20.00.12 y anteriores;
- SimpleLink CC32XX SDK, versión v4.30.00.06 y anteriores;
- SimpleLink CC13X0 SDK, versiones anteriores a la v4.10.03;
- SimpleLink CC13X2 SDK, versiones anteriores a la v4.40.00;
- SimpleLink CC26XX SDK, versiones anteriores a la v4.40.00;
- CC3200 SDK, versión v1.5.0 y anteriores;
- CC3100 SDK, versión v1.3.0 y anteriores.
Descripción
David Atch y Omri Ben Bassat, de Microsoft, han reportado estas vulnerabilidades al CISA, que podrían permitir a un atacante la denegación del servicio o ejecución remota de código,
Solución
Actualizar a las últimas versiones de software.
Detalle
- Un desbordamiento de enteros en las API de la MCU del host, al intentar conectarse a una red wifi, podría permitir a un atacante la denegación de servicio o la ejecución de código. Se ha asignado el identificador CVE-2021-22677 para esta vulnerabilidad.
- Un desbordamiento de búfer basado en la pila, mientras se procesan las actualizaciones de firmware over-the-air desde el servidor CDN, podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-22677 para esta vulnerabilidad.
- Un desbordamiento de enteros al analizar archivos de actualización de firmware over-the-air, podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-22675 para esta vulnerabilidad.
- Un desbordamiento de enteros al procesar las cabeceras HTTP podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-22679 para esta vulnerabilidad.
- Múltiples desbordamientos de enteros al procesar nombres de dominio largos, podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-22671 para esta vulnerabilidad.
Listado de referencias
Etiquetas