CVE-2020-16010

CVSS 9.6 CRITICALEPSS 6.4%● KEVCWE-122

En resumen

Un desbordamiento de buffer en la memoria heap del Chrome en Android permite que un atacante que ya ha comprometido el proceso de renderización escape de la sandbox de seguridad y obtenga acceso total al dispositivo. Esta es una vulnerabilidad crítica porque anula el principal mecanismo de defensa de Chrome.

Detalle técnico

Desbordamiento de buffer en la heap del componente de renderización de UI de Google Chrome en Android (versiones anteriores a 86.0.4240.185) explotable por un proceso de renderización comprometido mediante una página HTML especialmente diseñada. La vulnerabilidad permite escape de la sandbox, posibilitando elevación de privilegios desde el contexto del renderizador al acceso total del sistema. El vector de ataque requiere ejecución previa de código en el proceso renderizador.

Resumen generado y traducido por IA a partir de la descripción oficial.

Heap buffer overflow in UI in Google Chrome on Android prior to 86.0.4240.185 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Productos afectados

Google · Chrome

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://chromereleases.googleblog.com/2020/11/chrome-for-android-update.html https://crbug.com/1144368 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-16010