CVE-2024-55884: Out of Bounds Write Schwachstelle in Mullvad VPn
Die Schwachstelle CVE-2024-55884 betrifft den Mullvad VPN-Client in den Versionen 2024.6 (Desktop), 2024.8 (iOS) und 2024.8-beta1 (Android). Sie wurde am 11. Dezember 2024 gemeldet und als kritisch eingestuft. Die Schwachstelle erlaubt die Erschöpfung des Ausnahmebehandlungsstapels (alternate stack), was zu heap-basierten Out-of-Bounds-Schreibzugriffen in der Funktion enable() im Modul exception_logging/unix.rs führen kann.
Der Fehler tritt auf, wenn der alternative Stapel für die Ausnahmebehandlung in der Anwendung erschöpft wird. Dies kann dazu führen, dass außerhalb der reservierten Speicherbereiche geschrieben wird, was potenziell Speicherbeschädigungen verursacht. Die Ausnutzung der Schwachstelle zur Ausführung von Code wird jedoch als nicht trivial eingeschätzt, was die Angriffswahrscheinlichkeit etwas reduziert.
Die Schwachstelle wurde durch einen Fix in einem öffentlichen Commit adressiert: Commit zur Behebung der Schwachstelle. Nutzern wird dringend empfohlen, auf eine Version zu aktualisieren, die diesen Fix beinhaltet. Weitere Informationen zu dieser Schwachstelle und ihrer Behebung finden sich auch in den Artikeln von X41 D-Sec und Hacker News.