Ua hoʻopuka ʻo Cisco i nā hoʻokuʻu hou o ka pūʻolo antivirus manuahi ʻo ClamAV 1.4.2 a me 1.0.8, kahi e hoʻoponopono ai i ka nāwaliwali (CVE-2025-20128). ʻO ka nāwaliwali ma muli o ka hoʻoheheʻe ʻana o ka buffer ma ke code parsing no nā faila OLE2 (Object Linking and Embedding 2), hiki ke hoʻohana ʻia e kahi mea hoʻouka mamao ʻole i hōʻole ʻole ʻia e hōʻole i ka lawelawe. Ua ʻike ʻia ka pilikia mai ka hoʻokuʻu ʻia ʻana o ClamAV 1.0.0 a ua ʻike ʻia i ka wā o ka hoʻāʻo fuzzing e ka papahana OSS-Fuzz.
Hoʻokumu ʻia ka nāwaliwali e ka nui o ka helu integer i ka wā o ka nānā ʻana i nā palena, e alakaʻi ana i kahi heluhelu ma waho o nā palena. Hōʻike ʻia ka pilikia i ka wā e hana ana i nā faila e loaʻa ana ka ʻike OLE2 i hana kūikawā ʻia a ke kumu o ka hāʻule ʻana o ke kaʻina hana scan. Ua hōʻike ʻia kahi prototype exploit ma ka pūnaewele e hiki ke hoʻohana ʻia e hoʻouka i nā mea kūʻai leka uila. nā kikowaena a i ʻole nā ʻōnaehana kaʻana like faila e hoʻohana ana iā ClamAV.
Source: opennet.ru
