CVE-2025-34091

Nome do Software Vulnerável e Versões Afetadas: Google Chrome (versões afetadas não especificadas)

Descrição: Existe uma vulnerabilidade de padding oracle no mecanismo de criptografia de cookies AppBound do Google Chrome. Este problema surge devido a um comportamento observável de falha de descriptografia nos Logs de Eventos do Windows ao lidar com texto cifrado malformado em blobs criptografados com SYSTEM-DPAPI. Um atacante local pode enviar repetidamente textos cifrados malformados ao serviço de elevação do Chrome e distinguir entre erros de padding e erros de MAC, permitindo um ataque de padding oracle. Isso possibilita a descriptografia parcial da camada SYSTEM-DPAPI e a eventual recuperação da chave de cookie criptografada com user-DPAPI. A vulnerabilidade compromete o propósito central da Criptografia AppBound, permitindo o roubo de cookies com baixos privilégios através de uso indevido criptográfico e feedback de erro verboso.

Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.