Plataforma
swift
Componente
swift-crypto
Corrigido em
4.3.1
A vulnerabilidade CVE-2026-28815 afeta a biblioteca Swift Crypto, especificamente o processo de decapsulação de chaves HPKE (Hopscotch Packet Key Exchange). Um atacante remoto pode explorar essa falha fornecendo uma chave encapsulada HPKE curta, o que pode levar a uma leitura fora dos limites na memória, potencialmente resultando em uma falha do programa ou na exposição de informações sensíveis. As versões afetadas são 4.0.0 até 4.3.1, sendo que a vulnerabilidade foi corrigida na versão 4.3.1.
A vulnerabilidade CVE-2026-28815 no macOS afeta o tratamento de chaves encapsuladas HPKE (Hybrid Public Key Encryption) na biblioteca swift-crypto. Um atacante remoto pode fornecer uma chave HPKE encapsulada de comprimento reduzido, o que pode desencadear uma leitura fora dos limites (out-of-bounds read) durante o processo de decapsulação no código C. Isso pode resultar em uma falha do sistema (crash) ou na exposição de informações confidenciais da memória, dependendo das proteções de tempo de execução implementadas. A severidade desta vulnerabilidade depende da capacidade do atacante de controlar a entrada da chave e da sensibilidade dos dados protegidos.
A exploração desta vulnerabilidade requer que um atacante possa controlar a chave HPKE encapsulada que é apresentada ao sistema. Isso pode ser alcançado através de um ataque de intermediário (man-in-the-middle) ou manipulando dados transmitidos através de canais que utilizam HPKE. A vulnerabilidade está localizada no código C usado para a decapsulação, o que implica que a exploração pode ser mais complexa do que em vulnerabilidades que afetam código de nível superior. O comprimento reduzido da chave é o fator desencadeador principal, e a falta de validação adequada do comprimento da chave permite a leitura fora dos limites.
Applications and systems utilizing Swift Crypto versions 4.0.0 through 4.3.1 are at risk. This includes Swift-based applications that rely on HPKE for secure key exchange, particularly those handling external data or user-supplied input that could be crafted to trigger the vulnerability.
• swift / compiler: Examine compiler logs for errors related to memory access violations during HPKE decapsulation. • swift / runtime: Monitor runtime crash reports for signals related to memory access errors, particularly when handling X-Wing HPKE keys. • generic web: If Swift Crypto is used in a web application, monitor web server error logs for crashes or exceptions related to the cryptographic library.
disclosure
Status do Exploit
EPSS
0.04% (percentil 14%)
A solução para esta vulnerabilidade é atualizar a biblioteca swift-crypto para a versão 4.3.1 ou superior. A Apple lançou esta atualização como parte das atualizações do sistema operacional macOS. Recomenda-se fortemente que os usuários do macOS atualizem seus sistemas para a última versão disponível para mitigar este risco. A atualização corrige a forma como as chaves HPKE encapsuladas são tratadas, prevenindo a leitura fora dos limites. Verifique se o seu sistema operacional está atualizado através das Preferências do Sistema > Atualização de Software. A atualização é gratuita e recomendada para todos os usuários.
Actualice la biblioteca swift-crypto a la versión 4.3.1 o superior. Esto corrige la vulnerabilidad de lectura fuera de límites que podría provocar una caída o divulgación de memoria.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
HPKE (Hybrid Public Key Encryption) é um protocolo de criptografia híbrido que combina as vantagens da criptografia de chave pública e de chave privada para fornecer segurança e eficiência.
Vá para Preferências do Sistema > Atualização de Software para verificar se há atualizações disponíveis para o macOS.
Se você estiver usando uma versão do macOS anterior à que inclui swift-crypto 4.3.1, você é vulnerável.
Dependendo da configuração do sistema, dados confidenciais armazenados na memória, como chaves de criptografia ou outras informações confidenciais, podem ser expostos.
Não existem soluções temporárias conhecidas. A atualização para swift-crypto 4.3.1 é a solução recomendada.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Package.swift e descubra na hora se você está afetado.