Eine Schwachstelle wurde in vim gefunden. Sie wurde als problematisch eingestuft. Hierbei geht es um die Funktion qf_update_buffer
der Datei quickfix.c der Komponente autocmd Handler. Mit der Manipulation mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-416. Der Fehler wurde am 26.10.2022 als d0fab10ed2a86698937e3c3fed2f10bd9bb5e731 veröffentlicht. Das Advisory kann von github.com heruntergeladen werden.
Die Identifikation der Schwachstelle findet als CVE-2022-3705 statt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar.
Er gilt als nicht definiert. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Ein Aktualisieren auf die Version 9.0.0805 vermag dieses Problem zu lösen. Der Patch wird als d0fab10ed2a86698937e3c3fed2f10bd9bb5e731 bezeichnet. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.