PT-2021-2415 · Mozilla+8 · Firefox For Android+10
Felix Weinrank
+1
·
Publicado
2021-01-05
·
Atualizado
2024-12-12
·
CVE-2020-16044
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Google Chrome anteriores à 88.0.4324.96
Versões do Mozilla Firefox anteriores à 84.0.2
Versões do Firefox ESR anteriores à 84.0.2
Versões do Firefox para Android anteriores à 84.0.2
Descrição:
O problema está relacionado a uma vulnerabilidade do tipo “use-after-free” na implementação do WebRTC, especificamente na extensão COOKIE-ECHO. Essa vulnerabilidade pode ser explorada por um invasor remoto usando um pacote SCTP malicioso, podendo levar à corrupção da pilha (heap) ou à execução de código arbitrário. A vulnerabilidade é causada pelo acesso à memória após ela ter sido liberada no manipulador COOKIE-ECHO.
Recomendações:
Para versões do Google Chrome anteriores à 88.0.4324.96, atualize para a versão 88.0.4324.96 ou posterior.
Para versões do Mozilla Firefox anteriores à 84.0.2, atualize para a versão 84.0.2 ou posterior.
Para versões do Firefox ESR anteriores à 84.0.2, atualize para a versão 84.0.2 ou posterior.
Para versões do Firefox para Android anteriores à 84.0.2, atualize para a versão 84.0.2 ou posterior.
Como solução temporária, considere desativar o WebRTC até que um patch esteja disponível. Restrinja o acesso à extensão COOKIE-ECHO para minimizar o risco de exploração. Evite usar o manipulador
COOKIE-ECHO no pacote SCTP afetado até que o problema seja resolvido.Exploit
Correção
Use After Free
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Centos
Firefox Esr
Firefox For Android
Google Chrome
Linuxmint
Firefox
Red Hat
Suse
Ubuntu