PT-2020-2438 · Google+3 · Google Chrome+3

Guang Gong

+1

·

Publicado

2020-04-15

·

Atualizado

2024-06-15

·

CVE-2020-6457

CVSS v3.1

9.6

Crítica

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Google Chrome anteriores à 81.0.4044.113
Descrição
O problema está relacionado a uma vulnerabilidade do tipo “use-after-free” no componente de reconhecimento de voz do Google Chrome, que poderia permitir que um invasor remoto potencialmente realizasse uma fuga da sandbox por meio de uma página HTML maliciosa. Essa vulnerabilidade é causada pelo acesso a um bloco de memória após ele ter sido liberado no componente de reconhecimento de voz. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado.
Recomendações
Para versões do Google Chrome anteriores à 81.0.4044.113, atualize para a versão 81.0.4044.113 ou posterior para resolver o problema. Como solução temporária, considere desativar o recurso de reconhecimento de voz até que um patch esteja disponível. Restrinja o acesso a componentes potencialmente vulneráveis para minimizar o risco de exploração. No momento, não há informações adicionais sobre outras medidas de mitigação.

Exploit

Correção

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

ALT-PU-2020-1770
ALT-PU-2020-1784
ALT-PU-2020-2420
ALT-PU-2020-2441
BDU:2020-02444
CVE-2020-6457
DSA-4714-1
DSA-4714-2
DSA-4714-3
MGASA-2020-0185
OPENSUSE-SU-2020:0541-1
OPENSUSE-SU-2020:0566-1
OPENSUSE-SU-2020:0635-1
OPENSUSE-SU-2020_0541-1
OPENSUSE-SU-2020_0635-1
OPENSUSE-SU-2024:10681-1
OPENSUSE-SU-2024:12948-1
RHSA-2020:1504
RHSA-2020_1504

Produtos afetados

Alt Linux
Google Chrome
Red Hat
Suse