PT-2020-16585 · Mozilla+3 · Firefox+3

Brian Carpenter

·

Publicado

2020-12-15

·

Atualizado

2024-12-12

·

CVE-2020-26972

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 84
Descrição
O problema decorre do ciclo de vida dos atores IPC, em que os atores gerenciados podem permanecer ativos após o encerramento de seus atores gerenciadores. Nesses casos, os atores gerenciados devem garantir que não tentem utilizar um ator inativo ao qual tenham uma referência. No entanto, uma verificação para isso foi omitida no WebGL, resultando em um uso após liberação de memória (use-after-free) e uma falha potencialmente explorável.
Recomendações
Para versões anteriores à 84, atualize para a versão 84 ou posterior para resolver o problema. Como solução temporária, considere desativar o WebGL até que um patch esteja disponível. Restrinja o acesso a funcionalidades relacionadas ao WebGL para minimizar o risco de exploração.

Exploit

Correção

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

ALT-PU-2020-3529
ALT-PU-2021-2725
ALT-PU-2021-2881
ALT-PU-2021-3368
ALT-PU-2021-3369
ALT-PU-2022-1781
ALT-PU-2022-1782
CVE-2020-26972
OESA-2023-1673
OESA-2023-1674
OPENSUSE-SU-2024:10600-1
OPENSUSE-SU-2024:14572-1
USN-4671-1

Produtos afetados

Alt Linux
Firefox
Linuxmint
Ubuntu