Headline
CVE-2022-32959: HiCOS 自然人憑證元件客戶端 - Stack Buffer Overflow-1
HiCOS’ client-side citizen digital certificate component has a stack-based buffer overflow vulnerability when reading IC card due to insufficient parameter length validation for OS information. An unauthenticated physical attacker can exploit this vulnerability to execute arbitrary code, manipulate system data or terminate service.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202206005
CVE ID
CVE-2022-32959
CVSS
6.8 (Medium)
CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響產品
HiCOS 自然人憑證元件客戶端
Linux: libHicos_p11v1.so CHT PKCS#11 3.0.3.30306
Windows: HiCOSPKCS11.dll CHT PKCS#11 3.1.0.00002
macOS: libHicos_p11v1.dylib CHT PKCS#11 3.0.3.30404
問題描述
HiCOS自然人憑證元件客戶端於讀取晶片卡之OS資訊時未作參數長度驗證,導致Stack-based buffer overflow漏洞,使本機端攻擊者不須權限,即可利用此漏洞,執行任意程式碼、任意系統操作或中斷服務。
解決方法
至MOICA內政部憑證管理中心官網下載最新版
漏洞通報者
how2hack (CCoE)
公開日期
2022-07-12