FERRAMENTAS LINUX: Atualização de segurança do ArchLinux para corrigir vários problemas no webkit2gtk, aviso ArchLinux: 202002-10

domingo, 1 de março de 2020

Atualização de segurança do ArchLinux para corrigir vários problemas no webkit2gtk, aviso ArchLinux: 202002-10


Confira !!




O pacote webkit2gtk anterior à versão 2.26.4-1 é vulnerável a vários problemas, incluindo execução arbitrária de código, scripts entre sites, escape de sandbox, negação de serviço e desvio de política da mesma origem.
Comunicado de Segurança do Arch Linux ASA-202002-10
==========================================

Gravidade: alta
Data: 2020-02-17
CVE-ID: CVE-2020-3862 CVE-2020-3864 CVE-2020-3865 CVE-2020-3867
          CVE-2020-3868
Pacote: webkit2gtk
Tipo: vários problemas
Remoto: Sim
Link: https://security.archlinux.org/AVG-1100

Sumário
=======

O pacote webkit2gtk anterior à versão 2.26.4-1 é vulnerável a
vários problemas, incluindo execução arbitrária de código, cross-site
scripts, escape de sandbox, negação de serviço e política de mesma origem
desviar.

Resolução
==========

Atualize para 2.26.4-1.

# pacman -Syu "webkit2gtk> = 2.26.4-1"

Os problemas foram corrigidos na versão 2.26.4.

Gambiarra
==========

Nenhum.

Descrição
===========

- CVE-2020-3862 (negação de serviço)

Um site mal-intencionado pode causar uma negação de serviço.

- CVE-2020-3864 (desvio da política de mesma origem)

Um contexto de objeto DOM pode não ter uma origem de segurança exclusiva.

- CVE-2020-3865 (escape de sandbox)

Um contexto de objeto DOM de nível superior pode ter sido considerado incorretamente
seguro.

- CVE-2020-3867 (script entre sites)

O processamento de conteúdo da Web criado com códigos maliciosos pode levar a um cruzamento universal
script de site.

- CVE-2020-3868 (execução arbitrária de código)

O processamento de conteúdo da Web criado com códigos maliciosos pode levar a códigos arbitrários
execução. Os nossos agradecimentos a Marcin Towalski, da Cisco Talos.

Impacto
======

Um invasor remoto pode ignorar as restrições de segurança por meio de
script do site ou executar código arbitrário por meio de conteúdo da web criado.

Referências
==========

https://webkitgtk.org/security/WSA-2020-0002.html
https://security.archlinux.org/CVE-2020-3862
https://security.archlinux.org/CVE-2020-3864
https://security.archlinux.org/CVE-2020-3865
https://security.archlinux.org/CVE-2020-3867
https://security.archlinux.org/CVE-2020-3868


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário