Platform
swift
Component
swift-crypto
Opgelost in
4.3.1
CVE-2026-28815 is een kwetsbaarheid in Swift Crypto, specifiek in de C decapsulation path voor X-Wing HPKE. Een aanvaller kan een korte sleutel aanleveren, wat resulteert in een out-of-bounds read, mogelijk leidend tot een crash of geheugenlek. Deze kwetsbaarheid treft versies 4.0.0 tot en met 4.3.1 van Swift Crypto. De kwetsbaarheid is verholpen in versie 4.3.1.
CVE-2026-28815 in macOS beïnvloedt de verwerking van HPKE (Hybrid Public Key Encryption) ingekapselde sleutels binnen de swift-crypto bibliotheek. Een externe aanvaller kan een korte HPKE ingekapselde sleutel aanleveren, wat mogelijk een out-of-bounds read kan veroorzaken tijdens het C-decapsulatiepad. Dit kan leiden tot een crash of geheugenblootstelling, afhankelijk van runtime-beschermingen. De ernst van deze kwetsbaarheid hangt af van het vermogen van de aanvaller om de sleutelinput te controleren en van de gevoeligheid van de beveiligde gegevens. Robuuste invoervalidatie in cryptografische implementaties is cruciaal.
Het exploiteren van deze kwetsbaarheid vereist dat een aanvaller in staat is om de HPKE ingekapselde sleutel te controleren die aan het systeem wordt gepresenteerd. Dit kan worden bereikt via een man-in-the-middle-aanval of door gegevens te manipuleren die via kanalen worden verzonden die HPKE gebruiken. De kwetsbaarheid bevindt zich in de C-code die voor decapsulatie wordt gebruikt, wat betekent dat exploitatie complexer kan zijn dan bij kwetsbaarheden die code op een hoger niveau beïnvloeden. De verkorte sleutellengte is de primaire trigger, en het ontbreken van adequate sleutellengtevalidatie maakt het out-of-bounds read mogelijk.
Applications and systems utilizing Swift Crypto versions 4.0.0 through 4.3.1 are at risk. This includes Swift-based applications that rely on HPKE for secure key exchange, particularly those handling external data or user-supplied input that could be crafted to trigger the vulnerability.
• swift / compiler: Examine compiler logs for errors related to memory access violations during HPKE decapsulation. • swift / runtime: Monitor runtime crash reports for signals related to memory access errors, particularly when handling X-Wing HPKE keys. • generic web: If Swift Crypto is used in a web application, monitor web server error logs for crashes or exceptions related to the cryptographic library.
disclosure
Exploit Status
EPSS
0.04% (14% percentiel)
De oplossing voor deze kwetsbaarheid is om de swift-crypto bibliotheek te updaten naar versie 4.3.1 of hoger. Apple heeft deze update uitgebracht als onderdeel van macOS-besturingssysteemupdates. Gebruikers worden ten zeerste aangeraden hun systemen te updaten naar de nieuwste beschikbare versie om dit risico te beperken. De update corrigeert de manier waarop ingekapselde HPKE-sleutels worden verwerkt, waardoor het out-of-bounds read wordt voorkomen. Controleer op updates via Systeemvoorkeuren > Software-update. De update is gratis en wordt aanbevolen voor alle gebruikers. Regelmatig updaten van uw macOS is essentieel voor het behouden van de systeembeveiliging.
Actualice la biblioteca swift-crypto a la versión 4.3.1 o superior. Esto corrige la vulnerabilidad de lectura fuera de límites que podría provocar una caída o divulgación de memoria.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
HPKE (Hybrid Public Key Encryption) is een hybride sleutel-encapsulatieprotocol dat de voordelen van publieke en private cryptografie combineert voor beveiliging en efficiëntie.
Ga naar Systeemvoorkeuren > Software-update om te controleren of er updates beschikbaar zijn voor macOS.
Als u een versie van macOS gebruikt die vóór swift-crypto 4.3.1 is uitgebracht, bent u kwetsbaar.
Afhankelijk van de systeemconfiguratie kunnen gevoelige gegevens die in het geheugen zijn opgeslagen, zoals encryptiesleutels of andere vertrouwelijke informatie, worden blootgelegd.
Er zijn geen bekende tijdelijke oplossingen. Het updaten naar swift-crypto 4.3.1 is de aanbevolen oplossing.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Package.swift-bestand en we vertellen je direct of je getroffen bent.