PT-2024-1087 · Google+3 · Google Chrome+3

Malcolm Stagg

+1

·

Publicado

2024-01-09

·

Atualizado

2024-11-29

·

CVE-2024-0333

CVSS v2.0

7.5

Alta

VetorAV:N/AC:L/Au:N/C:P/I:P/A:P
Nome do software vulnerável e versões afetadas
Versões do Google Chrome anteriores à 120.0.6099.216
Descrição
A validação insuficiente de dados nas extensões do Google Chrome permitiu que um invasor em uma posição privilegiada na rede instalasse uma extensão maliciosa por meio de uma página HTML criada para esse fim. O problema está relacionado à contornamento da verificação de assinatura de arquivos CRX3 por meio de carga útil ZIP64 incorporada. Isso poderia ter permitido que invasores introduzissem extensões maliciosas.
Recomendações
Para versões anteriores à 120.0.6099.216, atualize para a versão 120.0.6099.216 ou posterior para resolver o problema. Como solução temporária, considere restringir a instalação de extensões de fontes não confiáveis até que a atualização seja aplicada.

Exploit

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALT-PU-2024-10294
ALT-PU-2024-14286
ALT-PU-2024-14830
ALT-PU-2024-2062
ALT-PU-2024-3216
ALT-PU-2024-4232
ALT-PU-2024-4260
ALT-PU-2024-4381
ALT-PU-2024-6148
BDU:2024-00348
CVE-2024-0333
DSA-5598-1
MGASA-2024-0011
OPENSUSE-SU-2024:0020-1
OPENSUSE-SU-2024:13583-1
OPENSUSE-SU-2024:13585-1
OPENSUSE-SU-2024:14001-1

Produtos afetados

Alt Linux
Astra Linux
Google Chrome
Red Os