Plattform
swift
Komponente
swift-crypto
Behoben in
4.3.1
CVE-2026-28815 describes an out-of-bounds read vulnerability discovered in Swift Crypto. An attacker can exploit this by providing a specially crafted, short X-Wing HPKE encapsulated key, leading to a potential crash or memory disclosure. This vulnerability affects versions 4.0.0 through 4.3.1 of Swift Crypto, and a fix is available in version 4.3.1.
CVE-2026-28815 in macOS betrifft die Handhabung von HPKE (Hybrid Public Key Encryption) verschlüsselten Schlüsseln innerhalb der swift-crypto Bibliothek. Ein Angreifer könnte einen kurzen HPKE verschlüsselten Schlüssel bereitstellen, was potenziell zu einem Out-of-Bounds-Read während des C-Decapsulation-Pfads führen könnte. Dies könnte zu einem Absturz oder einer Speicherfreigabe führen, abhängig von den Laufzeit-Schutzmaßnahmen. Die Schwere dieser Schwachstelle hängt von der Fähigkeit des Angreifers ab, die Schlüsseleingabe zu kontrollieren, und von der Sensibilität der geschützten Daten. Die robuste Validierung von Eingaben in kryptografischen Implementierungen ist von entscheidender Bedeutung.
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer in der Lage ist, den HPKE-verschlüsselten Schlüssel zu kontrollieren, der dem System präsentiert wird. Dies könnte durch einen Man-in-the-Middle-Angriff oder durch die Manipulation von Daten erreicht werden, die über Kanäle übertragen werden, die HPKE verwenden. Die Schwachstelle befindet sich im C-Code, der für die Decapsulation verwendet wird, was bedeutet, dass die Ausnutzung komplexer sein könnte als bei Schwachstellen, die Code auf höherer Ebene betreffen. Die verkürzte Schlüssellänge ist der primäre Auslöser, und das Fehlen einer angemessenen Schlüssellängenvalidierung ermöglicht das Out-of-Bounds-Read.
Applications and systems utilizing Swift Crypto versions 4.0.0 through 4.3.1 are at risk. This includes Swift-based applications that rely on HPKE for secure key exchange, particularly those handling external data or user-supplied input that could be crafted to trigger the vulnerability.
• swift / compiler: Examine compiler logs for errors related to memory access violations during HPKE decapsulation. • swift / runtime: Monitor runtime crash reports for signals related to memory access errors, particularly when handling X-Wing HPKE keys. • generic web: If Swift Crypto is used in a web application, monitor web server error logs for crashes or exceptions related to the cryptographic library.
disclosure
Exploit-Status
EPSS
0.04% (14% Perzentil)
Die Behebung dieser Schwachstelle besteht darin, die swift-crypto Bibliothek auf Version 4.3.1 oder höher zu aktualisieren. Apple hat dieses Update als Teil von macOS-Betriebssystemaktualisierungen veröffentlicht. Benutzer werden dringend gebeten, ihre Systeme auf die neueste verfügbare Version zu aktualisieren, um dieses Risiko zu mindern. Das Update korrigiert die Handhabung von verschlüsselten HPKE-Schlüsseln und verhindert so das Out-of-Bounds-Read. Überprüfen Sie Updates über Systemeinstellungen > Softwareupdate. Das Update ist kostenlos und für alle Benutzer empfohlen. Regelmäßige Aktualisierung Ihres macOS ist entscheidend für die Aufrechterhaltung der Systemsicherheit.
Actualice la biblioteca swift-crypto a la versión 4.3.1 o superior. Esto corrige la vulnerabilidad de lectura fuera de límites que podría provocar una caída o divulgación de memoria.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
HPKE (Hybrid Public Key Encryption) ist ein hybrides Schlüsselkapselungsprotokoll, das die Vorteile der öffentlichen und privaten Kryptographie für Sicherheit und Effizienz kombiniert.
Gehen Sie zu Systemeinstellungen > Softwareupdate, um zu überprüfen, ob Updates für macOS verfügbar sind.
Wenn Sie eine Version von macOS verwenden, die vor swift-crypto 4.3.1 veröffentlicht wurde, sind Sie anfällig.
Abhängig von der Systemkonfiguration könnten sensible Daten, die im Speicher gespeichert sind, wie z. B. Verschlüsselungsschlüssel oder andere vertrauliche Informationen, offengelegt werden.
Es gibt keine bekannten vorübergehenden Workarounds. Das Update auf swift-crypto 4.3.1 ist die empfohlene Lösung.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine Package.swift-Datei hoch und wir sagen dir sofort, ob du betroffen bist.