← voltar
CVE-2023-2136

CVE-2023-2136

CVSS 9.6 CRITICALEPSS 5.8%● KEVCWE-190
Em resumo

Uma falha na biblioteca de gráficos do Chrome (Skia) permite que um atacante que já controla o processo de renderização do navegador escape do isolamento de segurança e acesse o sistema inteiro usando uma página web especialmente criada.

Detalhe técnico

Vulnerabilidade de estouro inteiro em Skia possibilita escape da sandbox quando o processo de renderização é comprometido; atacante cria HTML malicioso para disparar o overflow, potencialmente escalando privilégios para nível do sistema. Requer comprometimento prévio do renderizador, mas resulta em bypass crítico da sandbox.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Integer overflow in Skia in Google Chrome prior to 112.0.5615.137 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: High)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Produtos afetados
Google · Chrome

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.htmlhttps://crbug.com/1432603https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4AOSGAOPXLBK4A5ZRTVZ4M6QKVLSWMWG/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ES2CDRHR2Y4WY6DNDIAPYZFXJU3ZBFAV/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FEJZMAUB4XP44HSHEBDWEKFGA7DUHY42/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IHHD6KNH4WLUE6JG6HRQZWNAJMHJ32X7/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RJQI63HWZFL6M26Q6UOHKDY6LD2PFC5Z/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SLO7BL2MHZYPY6O3OAEAQL3SKYMGGO6M/https://security.gentoo.org/glsa/202309-17https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-2136https://www.debian.org/security/2023/dsa-5393