CVE-2024-50302

HID: core: zero-initialize the report buffer

CVSS 5.5 MEDIUMEPSS 0.8%● KEVCWE-908

Em resumo

O driver HID (dispositivo de entrada humana) do kernel Linux não limpa a memória do seu buffer quando criado, permitindo potencialmente que dados sensíveis do kernel vazem através de relatórios de dispositivos especialmente fabricados. Isso poderia expor informações confidenciais da memória do sistema.

Detalhe técnico

Uma condição de memória não inicializada no buffer de relatórios do driver HID core permite divulgação de informações da memória do kernel. A vulnerabilidade requer um dispositivo HID malicioso ou comprometido para enviar relatórios especialmente elaborados; o impacto limita-se à confidencialidade, pois dados do buffer não inicializado podem ser expostos ao espaço do usuário através de fluxos de eventos HID.

Resumo gerado e traduzido por IA a partir da descrição oficial.

In the Linux kernel, the following vulnerability has been resolved: HID: core: zero-initialize the report buffer Since the report buffer is used by all kinds of drivers in various ways, let's zero-initialize it during allocation to make sure that it can't be ever used to leak kernel memory via specially-crafted report.

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Produtos afetados

Linux · Linux

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências