प्लेटफ़ॉर्म
swift
घटक
swift-crypto
में ठीक किया गया
4.3.1
Swift Crypto में एक भेद्यता पाई गई है जो एक दूरस्थ हमलावर को एक छोटा X-Wing HPKE एन्कैप्सुलेटेड की प्रदान करने की अनुमति देती है। इससे C डिकैप्सुलेशन पथ में आउट-ऑफ-बाउंड्स रीड हो सकता है, जिसके परिणामस्वरूप क्रैश या मेमोरी का खुलासा हो सकता है। यह भेद्यता Swift Crypto के संस्करण 4.0.0 से 4.3.1 तक के संस्करणों को प्रभावित करती है। इस समस्या को Swift Crypto संस्करण 4.3.1 में ठीक कर दिया गया है।
macOS में CVE-2026-28815 swift-crypto लाइब्रेरी में HPKE (हाइब्रिड पब्लिक की एन्क्रिप्शन) एन्कैप्सुलेटेड कीज़ के हैंडलिंग को प्रभावित करता है। एक दूरस्थ हमलावर एक छोटी HPKE एन्कैप्सुलेटेड की प्रदान कर सकता है, जिससे C डिक्रिप्शन पाथ में आउट-ऑफ-बाउंड रीड हो सकता है। इससे सिस्टम क्रैश या मेमोरी जानकारी का खुलासा हो सकता है, जो रनटाइम सुरक्षा उपायों पर निर्भर करता है। इस भेद्यता की गंभीरता हमलावर की की इनपुट को नियंत्रित करने की क्षमता और संरक्षित डेटा की संवेदनशीलता पर निर्भर करती है। क्रिप्टोग्राफिक कार्यान्वयन में मजबूत इनपुट सत्यापन महत्वपूर्ण है।
इस भेद्यता का शोषण करने के लिए, एक हमलावर को सिस्टम को प्रस्तुत की गई HPKE एन्कैप्सुलेटेड की को नियंत्रित करने में सक्षम होना चाहिए। यह मैन-इन-द-मिडिल हमले के माध्यम से या HPKE का उपयोग करने वाले चैनलों के माध्यम से प्रेषित डेटा में हेरफेर करके प्राप्त किया जा सकता है। यह भेद्यता डिक्रिप्शन के लिए उपयोग किए जाने वाले C कोड में मौजूद है, जिसका अर्थ है कि शोषण उच्च-स्तरीय कोड को प्रभावित करने वाली भेद्यताओं की तुलना में अधिक जटिल हो सकता है। छोटी की लंबाई प्राथमिक ट्रिगर है, और उचित की लंबाई सत्यापन की कमी आउट-ऑफ-बाउंड रीड की अनुमति देती है।
Applications and systems utilizing Swift Crypto versions 4.0.0 through 4.3.1 are at risk. This includes Swift-based applications that rely on HPKE for secure key exchange, particularly those handling external data or user-supplied input that could be crafted to trigger the vulnerability.
• swift / compiler: Examine compiler logs for errors related to memory access violations during HPKE decapsulation. • swift / runtime: Monitor runtime crash reports for signals related to memory access errors, particularly when handling X-Wing HPKE keys. • generic web: If Swift Crypto is used in a web application, monitor web server error logs for crashes or exceptions related to the cryptographic library.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (14% शतमक)
इस भेद्यता को ठीक करने का तरीका swift-crypto लाइब्रेरी को संस्करण 4.3.1 या बाद के संस्करण में अपडेट करना है। Apple ने इस अपडेट को macOS ऑपरेटिंग सिस्टम अपडेट के हिस्से के रूप में जारी किया है। उपयोगकर्ताओं को इस जोखिम को कम करने के लिए अपने सिस्टम को नवीनतम उपलब्ध संस्करण में अपडेट करने की दृढ़ता से सलाह दी जाती है। यह अपडेट एन्कैप्सुलेटेड HPKE कीज़ के हैंडलिंग को ठीक करता है, जिससे आउट-ऑफ-बाउंड रीड को रोका जा सकता है। सिस्टम प्राथमिकताएँ > सॉफ़्टवेयर अपडेट से अपडेट की जाँच करें। अपडेट मुफ़्त है और सभी उपयोगकर्ताओं के लिए अनुशंसित है। अपने macOS को नियमित रूप से अपडेट करना सिस्टम सुरक्षा बनाए रखने के लिए आवश्यक है।
Actualice la biblioteca swift-crypto a la versión 4.3.1 o superior. Esto corrige la vulnerabilidad de lectura fuera de límites que podría provocar una caída o divulgación de memoria.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
HPKE (हाइब्रिड पब्लिक की एन्क्रिप्शन) एक हाइब्रिड की एन्कैप्सुलेशन प्रोटोकॉल है जो सुरक्षा और दक्षता के लिए सार्वजनिक और निजी क्रिप्टोग्राफी के लाभों को जोड़ता है।
macOS के लिए उपलब्ध अपडेट की जाँच करने के लिए सिस्टम प्राथमिकताएँ > सॉफ़्टवेयर अपडेट पर जाएँ।
यदि आप swift-crypto 4.3.1 से पहले जारी किए गए macOS के संस्करण का उपयोग कर रहे हैं, तो आप भेद्य हैं।
सिस्टम कॉन्फ़िगरेशन के आधार पर, मेमोरी में संग्रहीत एन्क्रिप्शन कीज़ या अन्य गोपनीय जानकारी जैसे संवेदनशील डेटा उजागर हो सकते हैं।
कोई ज्ञात अस्थायी समाधान नहीं हैं। swift-crypto 4.3.1 में अपग्रेड करना अनुशंसित समाधान है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Package.swift फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।