YouTube Android Player API SDK de Google. Vulnerabilidades y errores

Errores CVE de YouTube Android Player API SDK de Google

Vulnerabilidades CVE de YouTube Android Player API SDK de Google

El SDK de YouTube Embedded 1.2 se vincula a un servicio dentro de la aplicación principal de YouTube

1 de Marzo del 2023

  • CVE-2023-0460 : Después del enlace, se crea un contexto remoto con las banderas Context.CONTEXT_INCLUDE_CODE | Contexto.CONTEXT_IGNORAR_SECURIDAD. Esto permite que la aplicación cliente cargue código de forma remota desde la aplicación principal de YouTube recuperando el ClassLoader de la aplicación principal. Una posible vulnerabilidad en la lógica de vinculación utilizada por el SDK del cliente donde el SDK termina llamando a bindService() en una aplicación malintencionada en lugar de la aplicación principal de YT. Esto crea una vulnerabilidad en la que el SDK puede cargar el ClassLoader de la aplicación malintencionada, lo que permite que la aplicación malintencionada cargue código arbitrario en la aplicación que llama cada vez que se invoca el SDK integrado. Para desencadenar esta vulnerabilidad, un atacante debe enmascarar la aplicación de Youtube e instalarla en un dispositivo

Sitios de referencia

  • CVE-2023-0460 : https://developers.google.com/youtube/android/player/downloads

Otras paginas de vulnerabilidades CVE

  • Vantage6
  • Redis
  • wordpress gallery plugin nextgen gallery
  • terawallet for woocommerce
  • photo gallery images slider in rbs image gallery
  • all in one google analytics pixels and product feed manager para woocommerce
  • conditional shipping for woocommerce
  • cart all in one for woocommerce
  • pdf invoices packing slips for woocommerce
  • dell networker nve

    • ¿Quieres encontrar más vulnerabilidades?.

    Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

    Fecha actualización el 2023-03-06. Fecha publicación el 2023-03-06. Autor: Oscar olg Mapa del sitio Fuente: cve report