PT-2020-16480 · Google · Timaservice
Publicado
2020-10-06
·
Atualizado
2021-07-21
·
CVE-2020-26607
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do TimaService de O(8.x) a Q(10.0)
Descrição
Uma falha no TimaService permite que um invasor execute uma ação privilegiada por meio de um intent modificado. Isso se deve ao tratamento incorreto do PendingIntent com um intent vazio.
Recomendações
Para as versões O(8.x) a Q(10.0), considere restringir o acesso a ações privilegiadas até que uma correção esteja disponível. Como solução temporária, evite usar PendingIntent com intents vazios para minimizar o risco de exploração.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Timaservice