Vulnerabilidad en la marca de tiempo de una apertura de una ventana de incógnito en la implementación del sistema de análisis de preservación de la privacidad de Brave Desktop (P3A) (CVE-2020-8276)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-312
Almacenamiento de información sensible en texto claro
Fecha de publicación:
09/11/2020
Última modificación:
18/11/2020
Descripción
La implementación del sistema de análisis de preservación de la privacidad de Brave Desktop (P3A) versiones entre 1.1 y 1.18.35, registró la marca de tiempo de la última vez que el usuario abrió una ventana de incógnito, incluyendo las ventanas Tor. El comportamiento previsto era registrar la marca de tiempo para las ventanas de incógnito, excluidas las ventanas Tor. Tome en cuenta que si un usuario tiene habilitado P3A, la marca de tiempo no se envía al servidor de Brave, sino un valor from:Used en las últimas 24hUsed en la última semana pero no 24hUsed en los últimos 28 días pero no usaba weekEver pero no en los últimos 28 daysNever usado. El riesgo de la privacidad es bajo porque un atacante local con acceso al disco no puede decir si la marca de tiempo corresponde a una ventana Tor o una ventana de incógnito que no es Tor
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:brave:brave:*:*:*:*:*:*:*:* | 1.1 (incluyendo) | 1.18.35 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página