oFonosta, Intelin kehittämästä avoimen lähdekoodin puhelinohjelmistosta, jota käytetään äänipuheluihin, mobiilitiedonsiirtoon ja tekstiviesteihin alustoilla, kuten Tizen, Ubuntu Touch, Mobian, Maemo, postmarketOS ja Sailfish/Aurora, löydettiin kaksi haavoittuvuutta. Nämä haavoittuvuudet mahdollistavat koodin suorittamisen käsiteltäessä erityisesti luotuja tekstiviestejä. Haavoittuvuudet on korjattu oFono 2.1:ssä.
Molemmat haavoittuvuudet johtuvat SMS PDU:n dekoodauskoodin ulkoisen datan koon asianmukaisen validoinnin puutteesta, mitä voidaan hyödyntää datan kirjoittamiseen allokoidun puskurin ulkopuolelle. Ensimmäinen haavoittuvuus (CVE-2023-4233) esiintyy sms_decode_address_field()-funktiossa ja toinen (CVE-2023-4234) decode_submit_report()-funktiossa.
Lähde: opennet.ru
