Plateforme
c
Composant
stb
Corrigé dans
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
1.6.1
1.7.1
1.8.1
1.9.1
1.10.1
1.11.1
1.12.1
1.13.1
1.14.1
1.15.1
1.16.1
1.17.1
1.18.1
1.19.1
1.20.1
1.21.1
1.22.1
Une vulnérabilité de sécurité a été découverte dans Nothings stb jusqu'à la version 1.22, affectant la fonction startdecoder du fichier stbvorbis.c. Cette manipulation entraîne une écriture hors limites. L'attaque peut être réalisée à distance, avec un exploit public disponible. Aucun correctif n'est actuellement disponible.
Une vulnérabilité de sécurité critique a été découverte dans la bibliothèque stb, plus précisément dans la fonction startdecoder du fichier stbvorbis.c, affectant les versions jusqu'à 1.22. Cette faille permet une écriture en dehors des limites (out-of-bounds write), ce qui peut entraîner l'exécution de code arbitraire ou un déni de service. La gravité de la vulnérabilité est notée CVSS 6.3. Alarmant, un exploit pour cette vulnérabilité a été rendu public, augmentant considérablement le risque d'attaques. La vulnérabilité peut être exploitée à distance, élargissant son impact potentiel sur un large éventail de systèmes et d'applications utilisant stb. Le manque de réponse du fournisseur aux divulgations anticipées concernant cette vulnérabilité est particulièrement préoccupant, ce qui entrave les efforts d'atténuation en temps opportun.
La vulnérabilité réside dans la fonction startdecoder au sein du module stbvorbis.c de la bibliothèque stb. Un attaquant peut exploiter cette faille en envoyant des données d'entrée spécialement conçues qui déclenchent une écriture en dehors des limites. La nature à distance de l'exploitation signifie qu'un attaquant n'a pas besoin d'un accès physique au système vulnérable ; il doit simplement être capable d'envoyer des données d'entrée malveillantes à une application utilisant stb. La publication publique de l'exploit simplifie encore l'exploitation, en fournissant aux attaquants un outil prêt à l'emploi. Le manque de réponse du fournisseur complique la situation, car il n'y a pas de source officielle pour obtenir des informations sur la vulnérabilité ou des solutions potentielles.
Applications that utilize Nothings stb for decoding Vorbis audio files are at risk. This includes multimedia players, audio processing tools, and any software that integrates stb for audio playback. Shared hosting environments where multiple applications share the same stb library are particularly vulnerable, as a compromise in one application could affect others.
• c/binary analysis: Examine binaries using stb for potential memory corruption patterns around the start_decoder function. Use tools like Valgrind or AddressSanitizer to detect out-of-bounds writes during runtime.
• file integrity monitoring: Monitor for unexpected modifications to stb_vorbis.c or related libraries.
• network traffic analysis: Look for unusual network requests containing potentially malicious media files.
• code review: Review applications using Nothings stb for proper input validation and error handling related to media file parsing.
Public Disclosure
Exploit Released
Statut de l'Exploit
EPSS
0.04% (percentile 14%)
CISA SSVC
Vecteur CVSS
Compte tenu de l'absence de correctif (fix) de la part du fournisseur, la mitigation immédiate consiste à éviter l'utilisation de versions de stb antérieures à la 1.22. Si l'utilisation de stb est inévitable, il est recommandé de mettre en œuvre des mesures de sécurité supplémentaires, telles que la validation stricte des données d'entrée pour la fonction start_decoder. Cela peut inclure la limitation de la taille des données d'entrée et la vérification de l'intégrité des données. Surveillez de près les systèmes affectés à la recherche de signes d'exploitation. La mise à niveau vers une version corrigée de stb est la solution définitive, mais en attendant, ces mesures peuvent aider à réduire les risques. Les utilisateurs et les développeurs sont fortement conseillés de connaître cette vulnérabilité et de prendre les mesures nécessaires pour protéger leurs systèmes.
Actualizar la biblioteca stb a una versión posterior a la 1.9, donde se haya corregido la vulnerabilidad de escritura fuera de límites en la función start_decoder del archivo stb_vorbis.c. Si no hay una versión corregida disponible, considerar el uso de una biblioteca alternativa para el manejo de archivos Vorbis.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
stb est une collection de bibliothèques open source pour décoder des fichiers multimédias tels que des images et de l'audio.
Cela signifie que le code écrit des données dans une mémoire qui ne devrait pas être écrite, ce qui peut corrompre des données ou permettre l'exécution de code malveillant.
Si vous utilisez stb version 1.22 ou antérieure, vous êtes probablement affecté. Examinez votre projet pour identifier toutes les instances de stb.
Mettez en œuvre une validation stricte des entrées pour la fonction start_decoder et surveillez vos systèmes à la recherche d'une activité suspecte.
En fonction de vos besoins, d'autres bibliothèques de décodage audio sont disponibles, bien que la compatibilité puisse varier.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.