Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al kernel de Linux, que permitiría a un atacante local realizar ejecución arbitraria de código en el sistema afectado. Actualmente para esta vulnerabilidad existe prueba de concepto (PoC) pública.
La vulnerabilidad identificada como CVE-2023-35829, de severidad “Alta” y con puntuación asignada de 7.0. Esta vulnerabilidad se debe a un error de gestión de memoria del tipo use-after-free (UAF) al procesar la función rkvdec_remove ubicada drivers/staging/media/rkvdec/rkvdec.c. de Linux. Esto permitiría a un atacante local no autenticado realizar ejecución arbitraria de código con privilegios de root y potencialmente provocar denegación de servicio (DoS) en el sistema afectado.
El producto afectado es:
- Kernel Linux, versiones anteriores a 6.3.2.
Recomendamos acceder a la actualización correspondiente provista por el fabricante en el siguiente enlace:
Referencias: