CVE-2021-37973
CVE-2021-37973
Vexday Risk Score
63Prioridade alta
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 9.6EPSS 11.7%KEV simPoC —Nuclei —Metasploit —Patch referenciado
Ciclo de vida
08 out 2021Publicada no NVD
03 nov 2021Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
Uma falha de memória no recurso Portals do Chrome permite que atacantes usem memória liberada para escapar da caixa de areia do navegador. Um atacante com controle sobre o processo de renderização pode explorar isso para ganhar acesso completo ao sistema.
Detalhe técnico
Vulnerabilidade use-after-free na API Portals do Chrome (CWE-416) permite que um processo de renderização comprometido acesse objetos de memória desalocados. A exploração exige HTML crafted e comprometimento do renderizador, possibilitando escape da caixa de areia com privilégios de execução total do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Use after free in Portals in Google Chrome prior to 94.0.4606.61 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Produtos afetados
Google · ChromeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_24.htmlhttps://crbug.com/1251727https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4DDW7HAHTS3SDVXBQUY4SURELO5D4X7R/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PM7MOYYHJSWLIFZ4TPJTD7MSA3HSSLV2/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-37973https://www.debian.org/security/2022/dsa-5046