CVE-2024-53197

ALSA: usb-audio: Fix potential out-of-bound accesses for Extigy and Mbox devices

CVSS 7.8 HIGHEPSS 3.6%● KEVCWE-787

En resumen

Un dispositivo USB de audio malicioso (como Extigy o Mbox) puede engañar al kernel de Linux para acceder a memoria fuera de los límites asignados, reportando un número incorrecto de configuraciones. Esto podría bloquear el sistema o permitir que un atacante lea datos sensibles.

Detalle técnico

La vulnerabilidad ocurre cuando un dispositivo USB falsificado proporciona un valor de bNumConfigurations mayor que el número de estructuras de configuración asignadas durante usb_get_configuration. Esto genera acceso a memoria fuera de límites en operaciones posteriores como usb_destroy_configuration. El vector de ataque es la conexión directa de un dispositivo USB sin requerir privilegios especiales.

Resumen generado y traducido por IA a partir de la descripción oficial.

In the Linux kernel, the following vulnerability has been resolved: ALSA: usb-audio: Fix potential out-of-bound accesses for Extigy and Mbox devices A bogus device can provide a bNumConfigurations value that exceeds the initial value used in usb_get_configuration for allocating dev->config. This can lead to out-of-bounds accesses later, e.g. in usb_destroy_configuration.

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Productos afectados

Linux · Linux

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias