• Buffer Overflow no OpenSC

    Publicado em 16-12-2010 23:51
    1 Comentário Comentários
    Um buffer overflow no smart card library OpenSC pode ser explorado com a finalidade de injeção e execução de códigos maliciosos no sistema. De acordo com a empresa britânica de segurança MWR InfoSecurity, o bug na biblioteca é acionado durante a leitura de números de série de cartões inteligentes. Os drivers card-atrust-acos.c, card-acos5.c e card-starcos.c da versão 0.11.1 do OpenSC, foram todos afetados por este problema.



    Os cartões STARCOS e Acos5 são utilizados para armazenar chaves criptográficas privadas e são implantados na área de Public Key Infrastructure (PKI). É improvável que o bug possa ser explorado utilizando o padrão de cartões com chip, embora os simuladores de cartão sejam capazes de enviar um número de série criado para um terminal. Os relatórios da MWR informam que houve o desenvolvimento de um exploit proof-of-concept.

    MWR não discute metas específicas para esse tipo de ataque, mas ataques à sistemas que exigem autenticação de chip card são certamente concebíveis. No Windows, o código injetado por meio da vulnerabilidade OpenSC seria capaz de rodar com privilégios de sistema. A equipe de desenvolvimento do OpenSC tem lançado patches para corrigir as vulnerabilidades em todos os três drivers.


    Saiba Mais:

    [1] MWR InfoSecurity: http://www.mwrinfosecurity.com/index.php
    [2] OpenSC: http://www.opensc-project.org/opensc
    Comentários 1 Comentário
    1. Avatar de não registrado
      não registrado - 10-05-2011, 10:36
      Olá. Estou estudando o assunto agora. E gostaria de saber qual a diferença entre PCSC e o OPENSC??

      Obrigada
    + Enviar Comentário