CVE-2020-16040
CVE-2020-16040
Em resumo
O mecanismo V8 do Google Chrome não verificava dados corretamente, permitindo que atacantes corrompessem a memória do computador ao enganar usuários para visitar um site malicioso.
Detalhe técnico
Validação insuficiente de entrada no V8 permitia execução remota de código através de corrupção de heap via HTML elaborado. O vetor de ataque é baseado na web (página maliciosa), requer interação do usuário (visitar o site) e pode resultar em execução de código arbitrário com privilégios do processo Chrome.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Insufficient data validation in V8 in Google Chrome prior to 87.0.4280.88 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Produtos afetados
Google · ChromePoCs públicas encontradas — 4
cve_referencepacketstormsecurity.com/files/162087/Google-Chrome-86.0.4240-V8-Remote-Code-Execution.htmlnão verificadocve_referencepacketstormsecurity.com/files/162106/Google-Chrome-86.0.4240-V8-Remote-Code-Execution.htmlnão verificadocve_referencepacketstormsecurity.com/files/162144/Google-Chrome-SimplfiedLowering-Integer-Overflow.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/49745não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://packetstormsecurity.com/files/162087/Google-Chrome-86.0.4240-V8-Remote-Code-Execution.htmlhttp://packetstormsecurity.com/files/162106/Google-Chrome-86.0.4240-V8-Remote-Code-Execution.htmlhttp://packetstormsecurity.com/files/162144/Google-Chrome-SimplfiedLowering-Integer-Overflow.htmlhttps://chromereleases.googleblog.com/2020/12/stable-channel-update-for-desktop.htmlhttps://crbug.com/1150649