← voltar
CVE-2016-5198

CVE-2016-5198

CVSS 8.8 HIGHEPSS 34.7%● KEVCWE-787
Vexday Risk Score
63Prioridade alta
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 8.8EPSS 34.7%KEV simPoC Nuclei Metasploit Patch referenciado
Ciclo de vida
19 jan 2017Publicada no NVD
08 jun 2022Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo

O V8 (motor JavaScript do Chrome) tinha um erro na sua otimização que permitia atacantes ler e escrever memória arbitrária através de um site malicioso, potencialmente dando controle total do seu navegador.

Detalhe técnico

As suposições de otimização do V8 estavam incorretas, permitindo acesso fora dos limites de memória (CWE-787) via JavaScript craft em uma página web. Isso habilitava operações arbitrárias de leitura/escrita no processo renderizador, facilitando execução de código.

Resumo gerado e traduzido por IA a partir da descrição oficial.
V8 in Google Chrome prior to 54.0.2840.90 for Linux, and 54.0.2840.85 for Android, and 54.0.2840.87 for Windows and Mac included incorrect optimisation assumptions, which allowed a remote attacker to perform arbitrary read/write operations, leading to code execution, via a crafted HTML page.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
n/a · Google Chrome prior to 54.0.2840.90 for Linux, and 54.0.2840.85 for Android, and 54.0.2840.87 for Windows and Mac

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://rhn.redhat.com/errata/RHSA-2016-2672.htmlhttps://chromereleases.googleblog.com/2016/11/stable-channel-update-for-desktop.htmlhttps://crbug.com/659475https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2016-5198http://www.securityfocus.com/bid/94079http://www.securitytracker.com/id/1037224