PT-2020-2024 · Google+3 · Google Chrome+3

Zihan Zheng

·

Publicado

2020-02-04

·

Atualizado

2024-06-15

·

CVE-2020-6412

CVSS v2.0

5.8

Média

VetorAV:N/AC:M/Au:N/C:P/I:P/A:N
Nome do software vulnerável e versões afetadas
Versões do Google Chrome anteriores à 80.0.3987.87
Descrição
O problema está relacionado à validação insuficiente de entradas não confiáveis no recurso Omnibox do Google Chrome. Isso poderia permitir que um invasor remoto realizasse spoofing de domínio por meio de homógrafos IDN usando um nome de domínio especialmente criado, levando potencialmente ao acesso não autorizado a informações e à violação de sua integridade.
Recomendações
Para versões do Google Chrome anteriores à 80.0.3987.87, atualize para a versão 80.0.3987.87 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso de nomes de domínio potencialmente vulneráveis até que a atualização seja aplicada. Restrinja o acesso a entradas não confiáveis na Omnibox para minimizar o risco de exploração.

Exploit

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALT-PU-2020-1457
ALT-PU-2020-1521
ALT-PU-2020-1707
ALT-PU-2020-2441
BDU:2020-01518
CVE-2020-6412
DSA-4638-1
MGASA-2020-0123
OPENSUSE-SU-2020:0189-1
OPENSUSE-SU-2020:0210-1
OPENSUSE-SU-2020:0233-1
OPENSUSE-SU-2020_0189-1
OPENSUSE-SU-2024:10681-1
OPENSUSE-SU-2024:12948-1
RHSA-2020:0514
RHSA-2020_0514

Produtos afetados

Alt Linux
Google Chrome
Red Hat
Suse