Plateforme
swift
Composant
swift-crypto
Corrigé dans
4.3.1
La vulnérabilité CVE-2026-28815 affecte la bibliothèque Swift Crypto, plus précisément le processus de décapsulation HPKE (HPKE encapsulated key). Un attaquant distant peut exploiter cette faille en fournissant une clé encapsulée HPKE X-Wing courte, ce qui peut entraîner une lecture hors limites dans le chemin de décapsulation C. Cette manipulation peut potentiellement provoquer un crash du système ou une divulgation de mémoire, selon les protections en place au moment de l'exécution. Cette vulnérabilité concerne les versions de Swift Crypto comprises entre 4.0.0 et 4.3.1 incluses, mais elle a été corrigée dans la version 4.3.1.
La vulnérabilité CVE-2026-28815 dans macOS affecte la gestion des clés encapsulées HPKE (Hybrid Public Key Encryption) au sein de la bibliothèque swift-crypto. Un attaquant distant pourrait fournir une clé HPKE encapsulée de longueur réduite, ce qui pourrait déclencher une lecture en dehors des limites (out-of-bounds read) pendant le processus de décapsulation dans le code C. Cela pourrait entraîner un plantage du système ou une divulgation de mémoire, en fonction des protections d'exécution. La gravité de cette vulnérabilité dépend de la capacité de l'attaquant à contrôler l'entrée de la clé et de la sensibilité des données protégées. Il est crucial de valider rigoureusement les entrées dans les implémentations cryptographiques.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant puisse contrôler la clé HPKE encapsulée présentée au système. Cela pourrait être réalisé par une attaque de l'homme du milieu (man-in-the-middle) ou en manipulant les données transmises via des canaux utilisant HPKE. La vulnérabilité réside dans le code C utilisé pour la décapsulation, ce qui implique que l'exploitation pourrait être plus complexe que dans les vulnérabilités affectant le code de niveau supérieur. La longueur réduite de la clé est le déclencheur principal, et l'absence de validation adéquate de la longueur de la clé permet la lecture en dehors des limites.
Applications and systems utilizing Swift Crypto versions 4.0.0 through 4.3.1 are at risk. This includes Swift-based applications that rely on HPKE for secure key exchange, particularly those handling external data or user-supplied input that could be crafted to trigger the vulnerability.
• swift / compiler: Examine compiler logs for errors related to memory access violations during HPKE decapsulation. • swift / runtime: Monitor runtime crash reports for signals related to memory access errors, particularly when handling X-Wing HPKE keys. • generic web: If Swift Crypto is used in a web application, monitor web server error logs for crashes or exceptions related to the cryptographic library.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 14%)
La correction de cette vulnérabilité consiste à mettre à jour la bibliothèque swift-crypto à la version 4.3.1 ou ultérieure. Apple a publié cette mise à jour dans le cadre des mises à jour du système d'exploitation macOS. Les utilisateurs sont fortement encouragés à mettre à jour leurs systèmes vers la dernière version disponible afin d'atténuer ce risque. La mise à jour corrige la manière dont les clés HPKE encapsulées sont gérées, empêchant ainsi la lecture en dehors des limites. Vérifiez les mises à jour via les Préférences Système > Mise à jour logicielle. La mise à jour est gratuite et recommandée pour tous les utilisateurs. Mettre régulièrement à jour votre macOS est essentiel pour maintenir la sécurité du système.
Actualice la biblioteca swift-crypto a la versión 4.3.1 o superior. Esto corrige la vulnerabilidad de lectura fuera de límites que podría provocar una caída o divulgación de memoria.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
HPKE (Hybrid Public Key Encryption) est un protocole de chiffrement hybride qui combine les avantages de la cryptographie à clé publique et à clé privée pour la sécurité et l'efficacité.
Allez dans Préférences Système > Mise à jour logicielle pour vérifier s'il y a des mises à jour disponibles pour macOS.
Si vous utilisez une version de macOS antérieure à celle qui inclut swift-crypto 4.3.1, vous êtes vulnérable.
En fonction de la configuration du système, des données sensibles stockées en mémoire, telles que des clés de chiffrement ou d'autres informations confidentielles, pourraient être exposées.
Il n'existe pas de solutions de contournement temporaires connues. La mise à jour vers swift-crypto 4.3.1 est la solution recommandée.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Package.swift et nous te dirons instantanément si tu es affecté.