PT-2021-7163 · Yandex · Yandex Browser
Xi-Tauw
·
Publicado
2021-01-15
·
Atualizado
2022-06-24
·
CVE-2021-25261
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Yandex Browser anteriores à 22.5.0.862
Descrição
O problema está relacionado a erros no processamento de links simbólicos ao carregar o arquivo de instalação, o que pode permitir que um invasor eleve seus privilégios. Um invasor local com privilégios limitados pode explorar essa vulnerabilidade para executar código arbitrário com privilégios de SISTEMA, manipulando links simbólicos para o arquivo de instalação durante o processo de atualização do Yandex Browser.
Recomendações
Para versões anteriores à 22.5.0.862, atualize para a versão 22.5.0.862 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo de instalação e ao processo de atualização para minimizar o risco de exploração.
Correção
Link Following
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Yandex Browser