PT-2021-3655 · Google · Android
Publicado
2021-06-01
·
Atualizado
2021-06-23
·
CVE-2021-0517
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Android: Android-11
Descrição
O problema está relacionado a um erro de lógica na função
updateCapabilities do arquivo ConnectivityService.java, o que pode levar a uma determinação incorreta do estado da rede. Isso poderia fazer com que tarefas de rede fossem direcionadas para ocorrer em redes que não sejam VPN, permitindo potencialmente que um invasor remoto divulgasse informações confidenciais sem a necessidade de privilégios de execução adicionais. Não é necessária a interação do usuário para a exploração.Recomendações
Para a versão Android-11, considere restringir o acesso à função
updateCapabilities do ConnectivityService.java para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, revise e ajuste as configurações de rede para garantir que tarefas confidenciais sejam roteadas por redes VPN quando necessário.Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Android