PT-2020-16578 · Google+2 · Android+2
Muneaki Nishimura
·
Publicado
2020-11-21
·
Atualizado
2024-12-12
·
CVE-2020-26964
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 83
Descrição
O problema ocorre quando o recurso Depuração Remota via USB está ativado no Firefox para Android em versões do Android anteriores à 6.0, permitindo que aplicativos não confiáveis se conectem e operem com privilégios do navegador, possibilitando assim que eles leiam e interajam com o conteúdo da web. Isso se deve à falta de aplicação do SELinux nas versões do Android anteriores à 6.0, apesar de o recurso estar protegido pela política do SELinux do Android como um soquete de domínio Unix.
Recomendações
Para versões do Firefox anteriores à 83, o problema foi corrigido removendo o recurso Depuração Remota via USB dos dispositivos afetados. Como solução alternativa temporária, considere desativar o recurso Depuração Remota via USB até que o problema seja resolvido. Restrinja o acesso ao soquete de domínio Unix para minimizar o risco de exploração.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Android
Firefox