Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos Texas Instruments SimpleLink

Múltiples vulnerabilidades en productos Texas Instruments SimpleLink

Fecha de publicación: 
30/04/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • SimpleLink MSP432E4 SDK, versión v4.20.00.12 y anteriores;
  • SimpleLink CC32XX SDK, versión v4.30.00.06 y anteriores;
  • SimpleLink CC13X0 SDK, versiones anteriores a la v4.10.03;
  • SimpleLink CC13X2 SDK, versiones anteriores a la v4.40.00;
  • SimpleLink CC26XX SDK, versiones anteriores a la v4.40.00;
  • CC3200 SDK, versión v1.5.0 y anteriores;
  • CC3100 SDK, versión v1.3.0 y anteriores.
Descripción: 

David Atch y Omri Ben Bassat, de Microsoft, han reportado estas vulnerabilidades al CISA, que podrían permitir a un atacante la denegación del servicio o ejecución remota de código,

Solución: 

Actualizar a las últimas versiones de software.

Detalle: 
  • Un desbordamiento de enteros en las API de la MCU del host, al intentar conectarse a una red wifi, podría permitir a un atacante la denegación de servicio o la ejecución de código. Se ha asignado el identificador CVE-2021-22677 para esta vulnerabilidad.
  • Un desbordamiento de búfer basado en la pila, mientras se procesan las actualizaciones de firmware over-the-air desde el servidor CDN, podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-22677 para esta vulnerabilidad.
  • Un desbordamiento de enteros al analizar archivos de actualización de firmware over-the-air, podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-22675 para esta vulnerabilidad.
  • Un desbordamiento de enteros al procesar las cabeceras HTTP podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-22679 para esta vulnerabilidad.
  • Múltiples desbordamientos de enteros al procesar nombres de dominio largos, podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-22671 para esta vulnerabilidad.

Encuesta valoración