Descrição
Várias vulnerabilidades sérias foram encontradas no Google Chrome. Os usuários mal-intencionados podem explorar essas vulnerabilidades para causar uma negação de serviço, ignorar restrições de segurança, falsificar a interface do usuário, executar código arbitrário, escalonar privilégios, obter informações confidenciais e executar ataques de script entre sites.
Abaixo está uma lista completa de vulnerabilidades:
- Um uso depois de livre no componente IndexedDB pode ser explorado remotamente por um invasor não autenticado para causar negação de serviço;
- A validação insuficiente de entrada não confiável no componente PPAPI Plugins pode ser explorada remotamente por um invasor não autenticado para ignorar restrições de segurança;
- A implementação inadequada no manuseio de diálogos modais no componente Blink pode ser explorada remotamente por um invasor não autenticado para falsificar a interface do usuário;
- Tipo de confusão nas extensões O JavaScript pode ser explorado remotamente por um invasor não autenticado para ignorar restrições de segurança;
- O estouro de pilha no componente PDFium pode ser explorado remotamente por um invasor não autenticado para executar código arbitrário;
- A aplicação insuficiente de políticas durante a navegação pode ser explorada remotamente por um invasor não autenticado para executar um ataque de script entre sites universal;
- A validação insuficiente de entrada não confiável no componente Skia pode ser explorada remotamente por um invasor não autenticado para causar negação de serviço;
- Um uso após livre no componente V8 pode ser explorado remotamente por um invasor não autenticado para causar negação de serviço;
- A validação insuficiente de entrada não confiável no componente PPAPI Plugins pode ser explorada remotamente por um invasor não autenticado para escalar privilégios;
- Um uso depois de livre no componente Apps pode ser explorado remotamente por um invasor não autenticado para causar negação de serviço;
- A implementação inadequada no componente Omnibox pode ser explorada remotamente por um invasor não autenticado para falsificar a interface do usuário;
- O uso de um valor não inicializado no componente Skia pode ser explorado remotamente por um invasor não autenticado para obter informações confidenciais;
- A implementação inadequada em intersticiais pode ser explorada remotamente por um invasor não autenticado para falsificar a interface do usuário.
- A aplicação insuficiente de políticas no componente Omnibox pode ser explorada remotamente por um invasor não autenticado para falsificar a interface do usuário;
- Um ataque de temporização na renderização de SVG pode ser explorado remotamente por um invasor não autenticado para executar um ataque de script entre sites universal;
- Tipo de confusão no componente PDFium pode ser explorado remotamente por um invasor não autenticado para contornar as restrições de segurança;
- A implementação inadequada do manuseio do manipulador de descarregamento nos prompts de permissão pode ser explorada remotamente por um invasor não autenticado para falsificar a interface do usuário;
- Implementação inadequada da API de pagamentos da Web em blob: e data: os esquemas no componente Web Payments podem ser explorados remotamente por um invasor não autenticado para falsificar a interface do usuário;
Detalhes técnicos
NB: Esta vulnerabilidade não tem nenhuma classificação CVSS pública, portanto, a classificação pode ser alterada pelo tempo.
Comunicados originais
Lista de CVE
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com