CVE-2021-38003

Versões do Chromium anteriores à 97.0.4692.71-0.1~deb11u1

qtwebengine5 versão 5.15.8

ungoogled-chromium versão 113.0.5672.92-1.1

chromedriver versão 95.0.4638.69-1.1

nodejs-electron versão 13.6.2-1.1

Chromium-gost versões 96.0.4664.45-alt2.c9.1, 96.0.4664.45-alt2.p9.1 e 96.0.4664.45-alt2.p10.1

Versões do Chromium anteriores à 95.0.4638.69

MosOS (versões afetadas não especificadas)

OpenSUSE (versões afetadas não especificadas)

Várias falhas de segurança foram descobertas no Chromium, podendo levar à execução arbitrária de código, negação de serviço ou divulgação de informações. Uma falha de corrupção de heap no mecanismo V8 JavaScript e WebAssembly, presente em versões anteriores à 95.0.4638.69, poderia ser explorada por meio de uma página HTML maliciosa. Em alguns casos, mods maliciosos foram distribuídos para o jogo Dota 2 através da loja Steam, contendo backdoors e explorando a vulnerabilidade do Chrome CVE-2021-38003. Esses mods incluíam Overdog no annoying heroes, Custom Hero Brawl e Overthrow RTZ Edition X10 XP. O código malicioso dentro desses mods poderia ser usado para registrar atividades, executar comandos do sistema, criar corrotinas e enviar solicitações HTTP GET. O suporte de segurança para o Chromium foi descontinuado para a distribuição ‘buster’ devido a limitações da cadeia de ferramentas. O arquivo evil.lua foi usado para testar os recursos de execução de Lua no lado do servidor.

Atualize o Chromium para a versão 97.0.4692.71-0.1~deb11u1.

Atualize o qtw