Google Chrome WebRTC 资源管理错误漏洞
UAF
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。WebRTC是其中的一个支持浏览器进行实时语音对话或视频对话的组件。
Google Chrome 83.0.4103.61之前版本中的WebRTC存在资源管理错误漏洞。远程攻击者可借助特制的HTML页面利用该漏洞造成堆损坏。
Google Chrome 资源管理错误漏洞
UAF
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome 存在资源管理错误漏洞,该漏洞允许远程攻击者通过精心制作的HTML页面进行漏洞利用。 以下产品及版本受到影响:Google Chrome 70.0.3538.67, 70.0.3538.77, 70.0.3538.102, 70.0.3538.110, 71.0.3578.80, 71.0.3578.98, 72.0.3626.81, 72.0.3626.96, 72.0.3626.109, 72.0.3626.119, 72.0.3626.121, 73.0.3683.75, 73.0.3683.86, 73.0.3683.103, 74.0.3729.108, 74.0.3729.131, 74.0.3729.157, 74.0.3729.169, 75.0.3770.80, 75.0.3770.90, 75.0.3770.100, 75.0.3770.142, 76.0.3809.87, 76.0.3809.100, 76.0.3809.132, 77.0.3865.75, 77.0.3865.90, 77.0.3865.120, 78.0.3904.70, 78.0.3904.87, 78.0.3904.97, 78.0.3904.108, 79.0.3945.79, 79.0.3945.88, 79.0.3945.117, 79.0.3945.130, 80.0.3987.87, 80.0.3987.100, 80.0.3987.106, 80.0.3987.116, 80.0.3987.122, 80.0.3987.132, 80.0.3987.149, 80.0.3987.162, 80.0.3987.163, 81.0.4044.92, 81.0.4044.113, 81.0.4044.122, 81.0.4044.129, 81.0.4044.138, 83.0.4103.61, 83.0.4103.97, 83.0.4103.106, 83.0.4103.116, 84.0.4147.89, 84.0.4147.105, 84.0.4147.125, 84.0.4147.135, 85.0.4183.83, 85.0.4183.102, 85.0.4183.121, 86.0.4240.75, 86.0.4240.111, 86.0.4240.183, 86.0.4240.193, 86.0.4240.198, 87.0.4280.66, 87.0.4280.88, 87.0.4280.141, 88.0.4324.96, 88.0.4324.104, 88.0.4324.146, 88.0.4324.150, 88.0.4324.182, 88.0.4324.190, 89.0.4389.72, 89.0.4389.82, 89.0.4389.90, 89.0.4389.114, 89.0.4389.128, 90.0.4430.72, 90.0.4430.85, 90.0.4430.93, 90.0.4430.212, 91.0.4472.77, 91.0.4472.101, 91.0.4472.106, 91.0.4472.114, 91.0.4472.124,Microsoft Edge (Chromium-based)。
Digital Bazaar Forge数据伪造问题漏洞
密码学签名的验证不恰当
Digital Bazaar Forge是美国Digital Bazaar公司的一个Tls在Javascript中的本机实现以及用于编写基于加密和网络密集型Web应用程序的开源工具。Digital Bazaar Forge1.3.0之前版本存在数据伪造问题漏洞,该漏洞源于SA PKCS#1 v1.5签名验证码无法正确检查DigestInfo以获得正确的 ASN.1 结构。攻击者可以发送特殊的签名利用该漏洞以验证包含无效结构但有效摘要的签名。
Ajv 6.12.2版本中的ajv.validate()函数中存在输入验证错误漏洞。攻击者可利用该漏洞执行代码或造成拒绝服务。
Npm Ini是美国Npm公司的一个基于Javascript的用于解析和序列化Ini格式文件的代码库。
Npm ini before 1.3.6 存在资源管理错误漏洞,该漏洞允许攻击者可利用该漏洞向应用程序提交恶意的INI文件,该应用程序将用INI解析该文件。这可以根据上下文进一步加以利用。
Google Chrome audio 资源管理错误漏洞
跨界内存写
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。audio是其中的一个音频组件。
Google Chrome中的audio组件存在安全漏洞。远程攻击者可特制的页面利用该漏洞在目标系统上执行任意代码。
Google Chrome类型混淆漏洞
使用不兼容类型访问资源(类型混淆)
Chrome是由Google开发的一款设计简单、高效的Web浏览工具。Google Chrome 93.0.4577.82之前版本中的Blink布局存在类型混淆漏洞。攻击者可利用该漏洞通过精心制作的HTML页面潜在地利用堆损坏。
Google Chrome 缓冲区错误漏洞
跨界内存写
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome 存在缓冲区错误漏洞,该漏洞源于WebAudio中的堆缓冲区溢出,远程攻击者可以通过精心制作的HTML页面利用堆损坏。
Google Chrome 缓冲区错误漏洞
内存缓冲区边界内操作的限制不恰当
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome 存在缓冲区错误漏洞,该漏洞源于浏览器中的音频数据争用,远程攻击者可以通过精心制作的HTML页面利用堆破坏。
Google Chrome 资源管理错误漏洞
UAF
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome 存在资源管理错误漏洞,该漏洞源于谷歌Chrome的文件系统API的免费后使用错误。
Microsoft Edge 资源管理错误漏洞
UAF
Microsoft Edge是美国微软(Microsoft)公司的一款Windows 10之后版本系统附带的Web浏览器。
Microsoft Edge (Chromium-based)存在资源管理错误漏洞。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
yargs-parser 输入验证错误漏洞
输入验证不恰当
yargs-parser是一款选项解析器。
yargs-parser 13.1.2之前版本、14.0.0及之后版本(15.0.1版本已修复)和16.0.0及之后版本(18.1.1版本已修复)中存在输入验证错误漏洞。攻击者可借助‘__proto__’payload利用该漏洞添加或修改Object.prototype属性。
Google Chrome V8 缓冲区错误漏洞
跨界内存写
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。V8是其中的一套开源JavaScript引擎。
Google Chrome 80.0.3987.149之前版本中的V8存在缓冲区错误漏洞。攻击者可借助特制的网站利用该漏洞绕过安全限制。
http-proxy 是一个为大众提供 HTTP 代理的库。此软件包的受影响版本容易受到拒绝服务 (DoS) 的攻击。
Digital Bazaar Forge数据伪造问题漏洞
密码学签名的验证不恰当
Digital Bazaar Forge是美国Digital Bazaar公司的一个Tls在Javascript中的本机实现以及用于编写基于加密和网络密集型Web应用程序的开源工具。digitalbazaar Forge 1.3.0之前版本存在数据伪造问题漏洞,该漏洞源于RSA PKCS#1 v1.5签名验证码在解码 `DigestInfo` ASN.1 结构后不检查尾随垃圾字节。攻击者可以删除填充字节利用该漏洞添加垃圾数据以伪造签名。
uglify-js 存在ReDoS漏洞
ReDoS
uglify-js 是一个 JavaScript 解析器、压缩器、压缩器和美化工具包。此软件包的受影响版本容易通过 string_template 和 decode_template 函数受到正则表达式拒绝服务 (ReDoS) 的攻击。
Google Chrome Animation代码执行漏洞
UAF
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome Animation存在代码执行漏洞,攻击者可利用此漏洞在系统上执行任意代码或造成拒绝服务情况。
Unshiftio Url-parse 访问控制错误漏洞
Url-Parse是一个跨 Node.js 和浏览器环境无缝工作的小型 Url 解析器。
Unshiftio Url-parse 中存在访问控制错误漏洞,该漏洞源于产品对用户控制的密钥缺少有效的保护机制。攻击者可通过该漏洞绕过授权。以下产品及版本受到影响:Unshiftio Url-parse 1.5.9 之前版本。
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。V8是其中的一套开源JavaScript引擎。
Google Chrome 83.0.4103.61之前版本中的V8存在类型混淆漏洞。远程攻击者可借助特制的HTML页面利用该漏洞造成堆损坏。
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome存在安全漏洞,该漏洞源于ANGLE中存在对象生命周期问题。
评论