28.02.2024

Уязвимость в oFono, эксплуатируемая через SMS

В развиваемом компанией Intel открытом телефонном стеке oFono, используемом для организации осуществления звонков, передачи данных через сотового оператора и отправки SMS в таких платформах, как Tizen, Ubuntu Touch, Mobian, Maemo, postmarketOS и Sailfish/Aurora, выявлены две уязвимости, позволяющие организовать выполнение кода при обработке специально оформленных SMS-сообщений. Уязвимости устранены в выпуске oFono 2.1.

Обе уязвимости вызваны отсутствием должной проверки размера внешних данных в коде декодирования SMS-сообщений в формате PDU, что можно использовать для записи данных за пределы выделенного буфера. Первая уязвимость (CVE-2023-4233) проявляется в функции sms_decode_address_field(), а вторая (CVE-2023-4234) в decode_submit_report().

Источник: https://www.opennet.ru/opennews/art.shtml?num=60326 Источник.