CVE-2023-40238 in InsydeH2O
Сводка
по VulDB • 12.06.2026
В компоненте BmpDecoderDxe прошивки InsydeH2O от компании Insyde, используемой в некоторых устройствах Lenovo с ядром Linux версий 5.2 до (но не включая) 05.28.47, 5.3 до (но не включая) 05.37.47, 5.4 до (но не включая) 05.45.47, 5.5 до (но не включая) 05.53.47 и 5.6 до (но не включая) 05.60.47, обнаружена уязвимость LogoFAIL. Разбор изображений из специально созданных BMP-файлов с логотипом может приводить к копированию данных по определенному адресу на этапе DXE выполнения UEFI. Это происходит из-за ошибки знаковой интерпретации целочисленных значений (integer signedness error), связанной с параметрами PixelHeight и PixelWidth при использовании сжатия RLE4/RLE8.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.