PT-2020-14464 · Duckduckgo · Duckduckgo
Commotionfever
·
Publicado
2020-07-02
·
Atualizado
2024-08-04
·
CVE-2020-15502
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
DuckDuckGo versões 5.58.0 e anteriores para Android
DuckDuckGo versões 7.47.1.0 e anteriores para iOS
Descrição
O aplicativo envia nomes de host de sites visitados em solicitações HTTPS .ico para servidores no domínio duckduckgo.com. Isso pode tornar os dados de visita temporariamente disponíveis em um ponto de extremidade potencialmente indesejado. O fornecedor afirmou que o serviço de favicon segue sua rigorosa política de privacidade.
Recomendações
Para as versões 5.58.0 e anteriores do DuckDuckGo para Android, considere desativar o serviço de favicon até que uma correção esteja disponível.
Para as versões 7.47.1.0 e anteriores do DuckDuckGo para iOS, considere desativar o serviço de favicon até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Duckduckgo