CVE-2021-21220
CVE-2021-21220
Em resumo
O mecanismo V8 do Google Chrome não validava corretamente dados não confiáveis, permitindo que atacantes corrompessem a memória do computador de uma vítima através de uma página web especialmente criada. Isso poderia causar travamentos ou execução de código malicioso.
Detalhe técnico
Escrita fora dos limites (CWE-787) no mecanismo V8 por validação insuficiente de entrada. Vetor de ataque remoto via HTML malicioso; não requer interação além de visitar a página. Exploração bem-sucedida causa corrupção de heap, possibilitando execução de código com privilégios do processo de renderização.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Insufficient validation of untrusted input in V8 in Google Chrome prior to 89.0.4389.128 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
Google · ChromePoCs públicas encontradas — 6
githubgithub.com/AmesianX/CVE-2021-21220★ 1githubgithub.com/JacobTaylor3/CVE-2021-21220★ 0githubgithub.com/JacobTaylor3/C2-and-Post-Exploitation-Framework★ 0githubgithub.com/borahll/CVE-2021-21220★ 0cve_referencepacketstormsecurity.com/files/162437/Google-Chrome-XOR-Typer-Out-Of-Bounds-Access-Remote-Code-Execution.htmlnão verificadocve_referencepacketstormsecurity.com/files/176210/Chrome-V8-JIT-XOR-Arbitrary-Code-Execution.htmlnão verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://packetstormsecurity.com/files/162437/Google-Chrome-XOR-Typer-Out-Of-Bounds-Access-Remote-Code-Execution.htmlhttp://packetstormsecurity.com/files/176210/Chrome-V8-JIT-XOR-Arbitrary-Code-Execution.htmlhttps://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop.htmlhttps://crbug.com/1196683https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/EAJ42L4JFPBJATCZ7MOZQTUDGV4OEHHG/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/U3GZ42MYPGD35V652ZPVPYYS7A7LVXVY/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VUZBGKGVZADNA3I24NVG7HAYYUTOSN5A/https://security.gentoo.org/glsa/202104-08https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-21220