Vulnerabilidad en uthenticode (CVE-2023-39969)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

09/08/2023

Última modificación:

16/08/2023

Descripción

uthenticode es una pequeña biblioteca multiplataforma para verificar parcialmente firmas digitales Authenticode. La versión 1.0.9 de uthenticode realiza el hash de todo el archivo en lugar de realizar el hash de secciones por dirección virtual, lo que viola la especificación Authenticode. Como resultado, un atacante podría modificar el código dentro de un binario sin cambiar su hash Authenticode, haciéndolo parecer válido desde la perspectiva de uthenticode. Las versiones de uthenticode anteriores a la 1.0.9 no son vulnerables a este ataque, como tampoco lo son las versiones de la serie 2.x. Por diseño, uthenticode no realiza una validación de cadena completa. Sin embargo, la maleabilidad de la verificación de firmas introducida en 1.0.9 fue un descuido involuntario. La serie 2.x soluciona la vulnerabilidad. Las versiones anteriores a la 1.0.9 tampoco son vulnerables, pero se recomienda a los usuarios que actualicen en lugar de degradar. No existen soluciones a esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto