One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8382263 |
| Date de publication | 2023-09-13 09:15:15 (vue: 2023-09-13 11:06:52) |
| Titre | CVE-2023-4039 |
| Texte | Une défaillance de la fonctionnalité -fstack-Protector dans les chaînes d'outils basées
Cette cible AARCH64 permet à un attaquant d'exploiter un tampon existant
débordez dans les variables locales de taille dynamiquement dans votre application
sans que cela soit détecté.Cette panne de protecteur de pile ne s'applique que
aux variables locales de style C99 de style C99 ou à celles créées en utilisant
alloca ().Le stack-protecteur fonctionne comme prévu pour
variables locales.
Le comportement par défaut lorsque le protécteur de pile
détecte un débordement pour résilier votre application, ce qui entraîne
perte de disponibilité contrôlée.Un attaquant qui peut exploiter un tampon
débordement sans déclencher le protecteur de pile pourrait être en mesure de changer
le contrôle du flux de programme pour provoquer une perte de disponibilité incontrôlée ou pour
Allez plus loin et affectez la confidentialité ou l'intégrité.
A failure in the -fstack-protector feature in GCC-based toolchains that target AArch64 allows an attacker to exploit an existing buffer overflow in dynamically-sized local variables in your application without this being detected. This stack-protector failure only applies to C99-style dynamically-sized local variables or those created using alloca(). The stack-protector operates as intended for statically-sized local variables. The default behavior when the stack-protector detects an overflow is to terminate your application, resulting in controlled loss of availability. An attacker who can exploit a buffer overflow without triggering the stack-protector might be able to change program flow control to cause an uncontrolled loss of availability or to go further and affect confidentiality or integrity. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 4039 aarch64 able affect alloca allows application applies attacker availability based behavior being buffer c99 can cause change confidentiality control controlled created cve default detected detects dynamically existing exploit failure feature flow fstack further gcc integrity intended local loss might only operates overflow program protector resulting sized stack statically style target terminate those toolchains triggering uncontrolled using variables when who without your |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.