PT-2021-5834 · Webkitgtk+9 · Webkitgtk+9

Marcin Towalski

·

Publicado

2021-02-12

·

Atualizado

2024-06-15

·

CVE-2021-21775

CVSS v2.0

9.3

Alta

VetorAV:N/AC:M/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
WebKitGTK versão 2.30.4
Descrição
Existe uma vulnerabilidade do tipo “use-after-free” na forma como certos eventos são processados para objetos ImageLoader do WebKit. Essa vulnerabilidade pode ser explorada por um invasor remoto, permitindo que ele acesse dados confidenciais, comprometa a integridade dos dados e cause uma negação de serviço. Uma página da web especialmente criada pode levar a um possível vazamento de informações e a uma corrupção adicional da memória. Para acionar a vulnerabilidade, a vítima deve ser induzida a visitar uma página da web maliciosa.
Recomendações
Para o WebKitGTK versão 2.30.4, considere desativar o objeto ImageLoader até que um patch esteja disponível para evitar possíveis vazamentos de informações e corrupção de memória. Restrinja o acesso a páginas da web maliciosas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

ALSA-2021:4381
ALT-PU-2021-1311
BDU:2022-00344
CESA-2021_4381
CVE-2021-21775
DSA-4945-1
MGASA-2021-0400
OPENSUSE-SU-2021:1101-1
OPENSUSE-SU-2021:2598-1
OPENSUSE-SU-2021_1101-1
OPENSUSE-SU-2021_2598-1
OPENSUSE-SU-2024:11506-1
RHSA-2021:4381
RHSA-2021_4381
RHSA-2025:10364
RLSA-2021:4381
SUSE-SU-2021:2598-1
SUSE-SU-2021:2600-1
SUSE-SU-2021:2762-1
USN-5024-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu
Webkitgtk