Se ha identificado y solucionado una vulnerabilidad en el kernel de Linux, activamente explotada, que afecta al controlador de video UVC (Universal Video Class). Esta vulnerabilidad permite la omisión de un análisis adecuado de fotogramas, lo que puede resultar en escrituras fuera de los límites. El impacto potencial incluye la posibilidad de ejecutar código arbitrario en el contexto del kernel, comprometiendo la confidencialidad, integridad y disponibilidad del sistema afectado. Los entornos que dependen de versiones vulnerables del kernel de Linux pueden estar en riesgo, especialmente los sistemas empotrados y las implementaciones de contenedores. Se recomienda aplicar las actualizaciones de seguridad proporcionadas por los proveedores para mitigar esta vulnerabilidad.
Recursos afectados
- Linux Kernel
Criticidad: Alta
Análisis técnico
- CVE-2024-53104: El contenido técnico ha sido revisado, manteniendo los términos y nombres de productos sin traducir. A continuación, se presenta la traducción solicitada: Se ha resuelto la siguiente vulnerabilidad en el kernel de Linux: media: uvcvideo: Omitir el análisis de fotogramas de tipo UVC_VS_UNDEFINED en uvc_parse_format. Esto puede provocar escrituras fuera de los límites, ya que los fotogramas de este tipo no se tuvieron en cuenta al calcular el tamaño del búfer de fotogramas en uvc_parse_streaming.
- CWE-787
- CVSS: 7.8
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Explotación: Detectada
Mitigación / Solución
El fabricante recomienda aplicar las mitigaciones adecuadas según las instrucciones proporcionadas o descontinuar el uso del producto si no se disponen mitigaciones efectivas.
Referencias adicionales