Уязвимость спуфинга источника в интерфейсе безопасности в Google Chrome через некорректную реализацию "PictureInPicture"
Описание
Некорректная реализация PictureInPicture в Google Chrome позволяет злоумышленнику, убедившему пользователя установить вредоносное расширение, выполнить спуфинг источника в пользовательском интерфейсе безопасности с помощью специально сформированной HTML-страницы.
Затронутые версии ПО
- Google Chrome версии до 113.0.5672.63
Тип уязвимости
Спуфинг (подмена)
Уровень опасности
Средний (Chromium security severity: Medium)
Ссылки
- Release Notes
- Issue TrackingPermissions Required
- Mailing List
- Mailing List
- Mailing List
- Third Party Advisory
- Third Party Advisory
- Release Notes
- Issue TrackingPermissions Required
- Mailing List
- Mailing List
- Mailing List
- Third Party Advisory
- Third Party Advisory
Уязвимые конфигурации
Одно из
EPSS
4.3 Medium
CVSS3
Дефекты
Связанные уязвимости
Inappropriate implementation in PictureInPicture in Google Chrome prior to 113.0.5672.63 allowed an attacker who convinced a user to install a malicious extension to perform an origin spoof in the security UI via a crafted HTML page. (Chromium security severity: Medium)
Chromium: CVE-2023-2464 Inappropriate implementation in PictureInPicture
Inappropriate implementation in PictureInPicture in Google Chrome prio ...
Inappropriate implementation in PictureInPicture in Google Chrome prior to 113.0.5672.63 allowed an attacker who convinced a user to install a malicious extension to perform an origin spoof in the security UI via a crafted HTML page. (Chromium security severity: Medium)
Уязвимость технологии Picture-in-Picture (PiP) браузера Google Chrome, позволяющая нарушителю проводить спуфинг-атаки
EPSS
4.3 Medium
CVSS3