平台
swift
组件
swift-crypto
修复版本
4.3.1
CVE-2026-28815 是 Swift Crypto 库中的一个安全漏洞,它允许远程攻击者通过提供精心构造的短X-Wing HPKE封装密钥,触发密钥解封装路径中的越界读取问题。 这种越界读取可能导致应用程序崩溃或敏感内存信息泄露。 此漏洞影响 Swift Crypto 4.0.0 到 4.3.1 版本。 幸运的是,该问题已在 Swift Crypto 4.3.1 版本中修复。
macOS中的CVE-2026-28815影响了swift-crypto库中HPKE(混合公钥加密)封装密钥的处理。远程攻击者可能提供一个短的HPKE封装密钥,从而可能在C解封装路径中触发越界读取。这可能导致系统崩溃或内存信息泄露,具体取决于运行时保护措施。此漏洞的严重程度取决于攻击者控制密钥输入的的能力以及受保护数据的敏感性。在加密实现中,强大的输入验证至关重要。
利用此漏洞需要攻击者能够控制向系统提供的HPKE封装密钥。这可以通过中间人攻击或通过操纵使用HPKE的通道传输的数据来实现。该漏洞位于用于解封装的C代码中,这意味着利用可能比影响更高层代码的漏洞更复杂。缩短的密钥长度是主要触发器,并且缺乏适当的密钥长度验证允许越界读取。
Applications and systems utilizing Swift Crypto versions 4.0.0 through 4.3.1 are at risk. This includes Swift-based applications that rely on HPKE for secure key exchange, particularly those handling external data or user-supplied input that could be crafted to trigger the vulnerability.
• swift / compiler: Examine compiler logs for errors related to memory access violations during HPKE decapsulation. • swift / runtime: Monitor runtime crash reports for signals related to memory access errors, particularly when handling X-Wing HPKE keys. • generic web: If Swift Crypto is used in a web application, monitor web server error logs for crashes or exceptions related to the cryptographic library.
disclosure
漏洞利用状态
EPSS
0.04% (14% 百分位)
此漏洞的修复方法是将swift-crypto库更新到版本4.3.1或更高版本。Apple已将此更新作为macOS操作系统更新的一部分发布。强烈建议用户将系统更新到最新版本以减轻此风险。该更新更正了封装的HPKE密钥的处理方式,从而防止了越界读取。通过系统偏好设置 > 软件更新检查更新。该更新是免费的,并建议所有用户使用。定期更新您的macOS对于维持系统安全至关重要。
Actualice la biblioteca swift-crypto a la versión 4.3.1 o superior. Esto corrige la vulnerabilidad de lectura fuera de límites que podría provocar una caída o divulgación de memoria.
漏洞分析和关键警报直接发送到您的邮箱。
HPKE(混合公钥加密)是一种混合密钥封装协议,它结合了公钥加密和私钥加密的优点,以实现安全性和效率。
转到系统偏好设置 > 软件更新以检查macOS是否有可用更新。
如果您使用的是在swift-crypto 4.3.1之前发布的macOS版本,则您会受到影响。
根据系统配置,存储在内存中的敏感数据,例如加密密钥或其他机密信息,可能会被公开。
没有已知的临时解决方法。升级到swift-crypto 4.3.1是推荐的解决方案。
上传你的 Package.swift 文件,立即知道是否受影响。