Vulnerabilità: CVE-2020-15224

In Open Enclave prima della versione 0.12.0, una vulnerabilità di divulgazione di informazioni esiste quando un’applicazione enclave utilizzando le chiamate di sistema forniti dal sockets.edl viene caricato da un’applicazione host dannoso. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe leggere i dati privilegiata dal mucchio enclave attraverso i confini di fiducia. Per sfruttare questa vulnerabilità, un utente malintenzionato deve accedere al sistema interessato ed eseguire un’applicazione appositamente predisposta. La vulnerabilità non consente a un utente malintenzionato di diritti utente Elevate direttamente, ma potrebbe essere utilizzato per ottenere informazioni altrimenti considerate riservate in un’enclave, che potrebbe essere utilizzato in ulteriori compromessi. La questione è stata affrontata nella versione 0.12.0 e il ramo master corrente. Gli utenti dovranno ricompilare le loro applicazioni contro le librerie aggiornato per essere protetti da questa vulnerabilità.


https://github.com/openenclave/openenclave/security/advisories/GHSA-525h-wxcc-f66m
https://github.com/openenclave/openenclave/security/advisories/GHSA-525h-wxcc-f66m
https://github.com/openenclave/openenclave/blob/master/CHANGELOG.md#v0120
https://github.com/openenclave/openenclave/blob/master/CHANGELOG.md#v0120
https://github.com/openenclave/openenclave/commit/bcac8e7acb514429fee9e0b5d0c7a0308fd4d76b
https://github.com/openenclave/openenclave/commit/bcac8e7acb514429fee9e0b5d0c7a0308fd4d76b
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15224


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi