CRITICAL🇬🇧 English

CVE-2023-4020

Błąd walidacji wejścia w TrustZone SDK Silicon Labs — dostęp do pamięci bezpiecznej

CVSS 9.0v3.1pub. 2023-12-15upd. 2024-11-21

Podatność w bibliotece Silabs Gecko SDK umożliwia nieautoryzowany odczyt i zapis pamięci znajdującej się w bezpiecznym regionie (secure region) z poziomu regionu niezabezpieczonego (non-secure region). Jest to poważne zagrożenie dla urządzeń korzystających z implementacji ARM TrustZone w ekosystemie Silicon Labs, ponieważ narusza fundamentalne założenie izolacji bezpiecznego środowiska wykonawczego.

Pokaż oryginał (EN)

An unvalidated input in a library function responsible for communicating between secure and non-secure memory in Silicon Labs TrustZone implementation allows reading/writing of memory in the secure region of memory from the non-secure region of memory.

🤖 Analiza AI
Jak działa

Funkcja biblioteczna odpowiedzialna za komunikację między bezpieczną a niezabezpieczoną przestrzenią pamięci nie przeprowadza prawidłowej walidacji danych wejściowych. Brak tej weryfikacji umożliwia aplikacji lub kodowi działającemu w regionie non-secure przekazanie spreparowanych danych do funkcji, co skutkuje odczytem lub zapisem poza dozwoloną strefą pamięci (CWE-125: out-of-bounds read, CWE-787: out-of-bounds write). W konsekwencji naruszona zostaje granica izolacji pomiędzy światem bezpiecznym (Secure World) a niezabezpieczonym (Non-Secure World) przewidziana przez architekturę TrustZone.

Skutki

Atakujący z dostępem do kodu wykonywanego w regionie non-secure może odczytywać poufne dane przechowywane w bezpiecznej pamięci (np. klucze kryptograficzne, dane uwierzytelniające) oraz nadpisywać zawartość pamięci bezpiecznego środowiska, co może prowadzić do trwałego naruszenia integralności systemu lub przejęcia kontroli nad bezpieczną enklawą.

Mitygacja

Należy zaktualizować Gecko SDK do wersji zawierającej poprawkę, zgodnie z informacjami opublikowanymi przez Silicon Labs w referencjach: https://community.silabs.com/069Vm0000004b95IAA oraz w repozytorium GitHub https://github.com/SiliconLabs/gecko_sdk/releases. Zaleca się również przegląd wszystkich aplikacji korzystających z bibliotek komunikacji między regionami secure/non-secure pod kątem prawidłowej walidacji danych wejściowych.

Kogo dotyczy

Silabs Gecko Software Development Kit (Gecko SDK) — wersje wskazane w referencjach producenta; dotyczy konfiguracji z włączoną obsługą ARM TrustZone.

CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
  • Silabs Gecko Software Development Kit

    APP
    Silabs
    1.0.0 – 4.4.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-45318CRITICAL10.0PL ✓ten sam produkt

Heap-based buffer overflow w serwerze HTTP biblioteki uC-HTTP — RCE

CVE-2023-4280CRITICAL9.3PL ✓ten sam produkt

Silabs Gecko SDK: dostęp do pamięci TrustZone z niezaufanego regionu

CVE-2023-27882CRITICAL9.0ten sam produkt

A heap-based buffer overflow vulnerability exists in the HTTP Server form boundary functionality of Weston Emb...

CVE-2023-28379CRITICAL9.0ten sam produkt

A memory corruption vulnerability exists in the HTTP Server form boundary functionality of Weston Embedded uC-...

CVE-2023-25181CRITICAL9.0ten sam produkt

A heap-based buffer overflow vulnerability exists in the HTTP Server functionality of Weston Embedded uC-HTTP ...