Textream — бесплатное приложение-телесуфлер для MacOS. До версии 1.5.1 сервер WebSocket DirectorServer не налагал ограничений на одновременные соединения. В сочетании с широковещательным таймером, который отправляет состояние всем подключенным клиентам каждые 100 мс, злоумышленник может истощить процессор и память, переполняя сервер соединениями, что приводит к зависанию и сбою приложения Textream во время живого сеанса.
Версия 1.5.1 устраняет проблему.
Показать оригинальное описание (EN)
Textream is a free macOS teleprompter app. Prior to version 1.5.1, the `DirectorServer` WebSocket server imposes no limit on concurrent connections. Combined with a broadcast timer that sends state to all connected clients every 100 ms, an attacker can exhaust CPU and memory by flooding the server with connections, causing the Textream application to freeze and crash during a live session. Version 1.5.1 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1