Du vundeblecoj estis malkovritaj en oFono, malfermfonteca telefonia stako evoluigita de Intel kaj uzata por voĉvokoj, moveblaj datumtransigoj kaj SMS-mesaĝado sur platformoj kiel Tizen, Ubuntu Touch, Mobian, Maemo, postmarketOS kaj Sailfish/Aurora. Ĉi tiuj vundeblecoj ebligas kodplenumon dum prilaborado de speciale kreitaj SMS-mesaĝoj. La vundeblecoj estis riparitaj en oFono 2.1.
Ambaŭ vundeblecoj estas kaŭzitaj de manko de ĝusta validigo de la grandeco de eksteraj datumoj en la malkoda kodo de SMS PDU, kio povas esti ekspluatata por skribi datumojn preter la asignita bufro. La unua vundebleco (CVE-2023-4233) okazas en la funkcio sms_decode_address_field(), kaj la dua (CVE-2023-4234) okazas en decode_submit_report().
fonto: opennet.ru
