CVE-2016-1646
CVE-2016-1646
En resumen
El navegador Google Chrome tenía un defecto en el motor JavaScript para procesar concatenación de arrays, permitiendo que atacantes bloquearan el navegador o ejecutaran código potencialmente a través de páginas web malformadas.
Detalle técnico
Lectura fuera de límites (CWE-125) en la implementación de Array.prototype.concat de V8 por validación inadecuada de tipos de elementos; vector de ataque remoto mediante JavaScript malicioso en contenido web; precondición requiere que el usuario visite o interactúe con página crafted; impacto varía desde denegación de servicio hasta ejecución arbitraria de código.
Resumen generado y traducido por IA a partir de la descripción oficial.
The Array.prototype.concat implementation in builtins.cc in Google V8, as used in Google Chrome before 49.0.2623.108, does not properly consider element data types, which allows remote attackers to cause a denial of service (out-of-bounds read) or possibly have unspecified other impact via crafted JavaScript code.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://googlechromereleases.blogspot.com/2016/03/stable-channel-update_24.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-04/msg00000.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-04/msg00001.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-04/msg00039.htmlhttp://rhn.redhat.com/errata/RHSA-2016-0525.htmlhttps://code.google.com/p/chromium/issues/detail?id=594574https://codereview.chromium.org/1804963002/https://security.gentoo.org/glsa/201605-02https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2016-1646http://www.debian.org/security/2016/dsa-3531http://www.securitytracker.com/id/1035423http://www.ubuntu.com/usn/USN-2955-1