CVE-2020-8276

Versões 1.1 a 1.18.35 do Brave Desktop

A implementação do sistema de análise com preservação de privacidade (P3A) do Brave Desktop registrou a data e hora da última vez em que o usuário abriu uma janela anônima, incluindo janelas do Tor, em vez de excluir as janelas do Tor, como pretendido. Se um usuário tiver o P3A ativado, o carimbo de data/hora não é enviado ao servidor do Brave, mas sim um valor indicando a frequência de uso, como Usado nas últimas 24 horas, Usado na última semana, mas não nas últimas 24 horas, Usado nos últimos 28 dias, mas não na última semana, Já foi usado, mas não nos últimos 28 dias ou Nunca foi usado. O risco à privacidade é baixo, pois um invasor local com acesso ao disco não consegue determinar se o carimbo de data e hora corresponde a uma janela Tor ou a uma janela anônima que não seja do Tor.

Para as versões 1.1 a 1.18.35, atualize para uma versão posterior à 1.18.35 para resolver o problema. Como solução temporária, considere desativar o sistema P3A até que um patch esteja disponível. Restrinja o acesso a janelas de navegação anônima e janelas do Tor para minimizar o risco de exploração. Evite usar o sistema P3A até que o problema seja resolvido.