Python-Schwachstelle ermöglicht Out-of-Bounds-Schreibvorgang auf Windows-Systemen

Eine Sicherheitslücke wurde in der Windows-asyncio-Implementierung, die es Angreifern ermöglicht, durch eine fehlende Überprüfung der Grenzen bei Netzwerk-Socket-Operationen Speicher-Schreibvorgänge a Eine Sicherheitslücke wurde in der Windows-asyncio-Implementierung, die es Angreifern ermöglicht, durch eine fehlende Überprüfung der Grenzen bei Netzwerk-Socket-Operationen Speicher-Schreibvorgänge außerhalb des gültigen Bereichs auszulösen.

Die Schwachstelle, verfolgt als CVE-2026-3298, weist eine hohe Schweregradbewertung auf. Sie betrifft ausschließlich Windows-Plattformen und wurde am 21.

April 2026 öffentlich bekannt gegeben. Der Fehler liegt in der Methode sock_recvfrom_into() der Klasse asyncio.proactorEventLoop, welche die native Event-Loop-Implementierung.

Wenn der optionale Parameter nbytes verwendet wird, versagt die Methode bei der Überprüfung, ob die eingehenden Netzwerkdaten die Größe des Zielpuffers überschreiten. Infolgedessen können Daten, die größer sind als der zugewiesene Puffer, über seine beabsichtigte Speichergrenze geschrieben werden, was eine klassische Out-of-Bounds-Schreibbedingung erzeugt.

Out-of-Bounds-Schreibschwachstellen sind besonders gefährlich, da sie benachbarte Speicherbereiche beschädigen können.