PT-2020-13864 · Viber · Viber For Windows

Publicado

2020-06-22

Atualizado

2021-07-21

CVE-2020-14049

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Nome do software vulnerável e versões afetadas

Viber para Windows, versões até 13.2.0.39

Descrição

O problema decorre do fato de o Viber para Windows não colocar entre aspas corretamente seu manipulador de URI personalizado, permitindo que um site malicioso inicie o Viber com parâmetros arbitrários. Isso poderia forçar a vítima a enviar uma solicitação de autenticação NTLM, que poderia então ser retransmitida ou ter seu hash capturado para quebra de senha offline.

Recomendações

Para versões até 13.2.0.39, atualize para uma versão que coloque entre aspas corretamente seu manipulador de URI personalizado para evitar exploração maliciosa.

Exploit

Correção

Argument Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-88

Identificadores relacionados

CVE-2020-14049

Produtos afetados

Viber For Windows

PT-2020-13864 · Viber · Viber For Windows

CVE-2020-14049

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5