Una vulnerabilità (CVE-2024-2961) hè stata identificata in a libreria C standard Musl, chì porta à un overflow di buffer durante a cunversione di testu furmatu apposta da a codifica EUC-KR à UTF-8 utilizendu a funzione iconv(). A vulnerabilità hè cumminciata cù a versione musl 0.9.13 è serà riparata in a prossima versione 1.2.6 (un patch deve esse usatu prima chì l'aghjurnamentu hè publicatu). A vulnerabilità hè stata scuperta da u mantene di a biblioteca libxml2 durante a prova di fuzzing.
A vulnerabilità pò esse usata per attaccà l'applicazioni compilate cù a libreria Musl chì realizanu a codificazione di testu ricevuta da fonti esterni. A vulnerabilità pò esse sfruttata chjamendu a funzione iconv_open () in una applicazione cù a codificazione fonte EUC-KR è a codificazione di destinazione UTF-8. Esempii d'applicazioni potenzialmente vulnerabili includenu prugrammi chì recodificanu XML, HTML è i missaghji email basatu nantu à a codificazione specificata in l'intestazione di u tipu MIME (per esempiu "text/plain; charset=EUC-KR"). Per esempiu, recodificazione simili hè realizatu da i prugrammi chì utilizanu a biblioteca libxml2.
A vulnerabilità hè causata da una cumminazione di dui bug. U primu bug hè ligatu à a mancanza di verificazione curretta per sequenze multi-byte invalide in u decodificatore EUC-KR. U sicondu bug hè presente in u codificatore UTF-8, chì ùn hè micca statu cuncepitu per trattà u fattu chì u decodificatore d'input puderia rinvià valori scalari Unicode invalidi. In u risultatu, e sequenze di trasfurmazioni di a forma "\xc8\x41" risultatu in i valori chì sò scritti in una zona oltre u cunfini di u buffer attribuitu.
Source: opennet.ru
