Vulnerabilidade de vazamento de informações é descoberta no Google Chrome WebGL

Marcin Towalski, da Cisco Talos, descobriu essa vulnerabilidade. Blog de Jon Munshaw.

Os pesquisadores do Cisco Talos descobriram recentemente um bug no WebGL, que é uma API do Chrome responsável por exibir gráficos 3-D.

De acordo com nossa política de divulgação coordenada, Cisco Talos trabalhou com o Google para garantir que esses problemas sejam resolvidos e que uma atualização esteja disponível para os clientes afetados.

DETALHES DE VULNERABILIDADE

Vulnerabilidade de vazamento de informações do Google Chrome DrawElementsInstanced (TALOS-2020-1123 / CVE-2020-6555)

Existe uma vulnerabilidade de divulgação de informações na funcionalidade WebGL do Google Chrome 83.0.4103.116 (Estável) (64 bits) e 86.0.4198.0 (Versão do desenvolvedor) (64 bits). JavaScript especialmente criado pode causar uma leitura fora dos limites. A vítima deve visitar uma página da web especialmente criada e maliciosa para acionar esta vulnerabilidade.

Leia o comunicado de vulnerabilidade completo aqui para obter informações adicionais. 

VERSÕES TESTADAS

Talos testou e confirmou que o Google Chrome, versão 83.0.4103.61 e a compilação do desenvolvedor do Chrome versão 86.0.4198.0 (64 bits) são afetados por esta vulnerabilidade.

COBERTURA

As seguintes regras SNORTⓇ detectarão tentativas de exploração. Observe que regras adicionais podem ser lançadas em uma data futura e as regras atuais estão sujeitas a alterações pendentes de informações adicionais de vulnerabilidade. Para obter as informações mais recentes sobre as regras, consulte o seu Firepower Management Center ou Snort.org.

Regras do Snort: 54584, 54585

Fonte: https://blog.talosintelligence.com/2020/10/vuln-spotlight-chrome-web-gl-info-leak.html