Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
Agradecemos profundamente os seguintes pesquisadores de segurança por nos ajudar a melhorar a segurança de nossos aplicativos móveis e computadores e por divulgar os relatórios de vulnerabilidade de forma responsável e trabalhar conosco durante todo o processo.
Embora estejamos nos esforçando para lançar os patches de segurança o mais rápido possível para todos os dispositivos e serviços aplicáveis, o tempo de lançamento pode variar dependendo dos modelos e das versões dos dispositivos ou das versões do serviço.
SVE-2021-20922 (CVE-2021-25418): vulnerabilidade com proteção inadequada de componentes no Samsung Internet
Gravidade: moderada
Versão resolvida: 14.0.1.62
Relatado em: 4 de março de 2021
Descrição: vulnerabilidade com proteção inadequada de componentes do Samsung Internet antes da versão 14.0.1.62 permite que aplicativos não confiáveis executem atividades arbitrárias em condições específicas.
Agradecimento: Dawn Security Lab, JD.com
SVE-2021-21127 (CVE-2021-25419): não conformidade do esquema de codificação seguro recomendado no Samsung Internet
Gravidade: baixa
Versão resolvida: 14.0.1.62
Relatado em: 20 de março de 2021
Descrição: a não conformidade do esquema de codificação seguro recomendado no Samsung Internet antes da versão 14.0.1.62 permite que invasores exibam URLs falsas na barra de endereços por meio do link URL de phishing.
Agradecimento: Abdulla Aldoseri
SVE-2021-20736 (CVE-2021-25420, CVE-2021-25421, CVE-2021-25422, CVE-2021-25423): exposição de senha Wi-Fi
Gravidade: moderada
Versão resolvida: Galaxy Watch PlugIn 2.2.05.21033151, Galaxy Watch3 PlugIn 2.2.09.21033151, Watch Active PlugIn 2.2.07.21033151, Watch Active2 PlugIn 2.2.08.21033151
Relatado em: 18 de fevereiro de 2021
Descrição: vulnerabilidade inadequada de gestão de log em plugins de dispositivos wearables permite que o invasor com permissões de log vaze a senha de Wi-Fi conectada ao smartphone do usuário dentro do log.
Agradecimento: Andr. Ess
SVE-2021-19928 (CVE-2021-25424): modo de emparelhamento Bluetooth inadequado em dispositivo Tizen
Gravidade: alta
Versão resolvida: atualização do firmware versão junho de 2021
Relatado em: 14 de dezembro de 2020
Descrição: a vulnerabilidade de autenticação inadequada no Tizen bluetooth-frwk antes da atualização do firmware de junho de 2021 permite que o invasor assuma o dispositivo de bluetooth do usuário sem o conhecimento do usuário.
Agradecimento: BoB WatchOver
SVE-2021-21224 (CVE-2021-25425): leitura de dados de cache internos no Samsung Health
Gravidade: moderada
Versão resolvida: 6.17
Relatado em: 26 de março de 2021
Descrição: vulnerabilidade de verificação inadequada no Samsung Health antes da versão 6.17 permite que o invasor leia dados de cache internos por meio do componente exportado.
Agradecimento: Dzmitry Lukyanenka
SVE-2021-20805 (CVE-2021-25405): vulnerabilidade de controle de acesso inadequado no Samsung Notes
Gravidade: moderada
Versão resolvida: 4.2.04.27
Relatado em: 24 de fevereiro de 2021
Descrição: uma vulnerabilidade de controle de acesso inadequado no ScreenOffActivity no Samsung Notes antes da versão 4.2.04.27 permite que aplicativos não confiáveis acessem arquivos locais.
Agradecimento: hard_______
SVE-2021-20777 (CVE-2021-25398): redirecionamento de intenção no Bixby Voice
Gravidade: moderada
Versão resolvida: 3.1.12
Relatado em: 22 de fevereiro de 2021
Descrição: a vulnerabilidade de redirecionamento de intenção no Bixby Voice antes da versão 3.1.12 permite que o invasor tenha acesso aos contatos.
Agradecimento: hard_______
SVE-2021-20482 (CVE-2021-25399): configurações inadequadas do fileprovider no Gerenciador inteligente
Gravidade: alta
Versão resolvida: 11.0.05.0
Relatado em: 28 de janeiro de 2021
Descrição: a configuração inadequada do fileprovider no Gerenciador inteligente antes da versão 11.0.05.0 permite que o invasor acesse o arquivo com privilégio de sistema.
Agradecimento: Xu Liangjun
SVE-2021-20631 (CVE-2021-25400): redirecionamento de intenção no Samsung Internet
Gravidade: moderada
Versão resolvida: 14.0.1.20
Relatado em: 9 de fevereiro de 2021
Descrição: a vulnerabilidade de redirecionamento de intenção no Samsung Internet antes da versão 14.0.1.20 permite que o invasor execute ação privilegiada.
Agradecimento: Sergey Toshin do Oversecured incorreta
SVE-2021-20612 (CVE-2021-25401): redirecionamento de intenção no Samsung Health
Gravidade: moderada
Versão resolvida: 6.16
Relatado em: 6 de fevereiro de 2021
Descrição: a vulnerabilidade de redirecionamento de intenção no Samsung Health antes da versão 6.16 permite que o invasor execute ação privilegiada.
Agradecimento: Sergey Toshin do Oversecured Inc.
SVE-2021-20188 (CVE-2021-25402): vulnerabilidade de exposição de informações no Samsung Notes
Gravidade: baixa
Versão resolvida: 4.2.04.27
Relatado em: 5 de janeiro de 2021
Descrição: a vulnerabilidade de exposição de informações no Samsung Notes antes da versão 4.2.04.27 permite que o invasor acesse as informações de latência da S Pen.
SVE-2021-20810 (CVE-2021-25403): vulnerabilidade de redirecionamento de intenção na conta Samsung
Gravidade: moderada
Versão resolvida: 10.8.0.4 no Android P(9.0) e inferior e 12.2.0.9 no Android Q(10.0) e superior
Relatado em: 24 de fevereiro de 2021
Descrição: a vulnerabilidade de redirecionamento de intenção na conta Samsung anterior à versão 10.8.0.4 no Android P(9.0) e inferior e 12.2.0.9 no Android Q(10.0) e superior permite que o invasor acesse contatos e provedor de arquivos usando o componente SettingWebView.
Agradecimento: hard_______
SVE-2021-20542 (CVE-2021-25404): vulnerabilidade de exposição de informações no SmartThings
Gravidade: moderada
Versão resolvida: 1.7.64.21
Relatado em: 2 de fevereiro de 2021
Descrição: a vulnerabilidade de exposição de informações no SmartThings antes da versão 1.7.64.21 permite que invasores acessem as informações do usuário por log.
Agradecimento: Sergey Toshin do Oversecured Inc
SVE-2021-19789 (CVE-2021-25406): acesso não autorizado ao número de série do dispositivo
Gravidade: baixa
Versão resolvida: 2.2.05.21033151
Relatado em: 30 de novembro de 2020
Descrição: a vulnerabilidade de exposição de informações no plugin Gear S antes da versão 2.2.05.20122441 permite que o invasor acesse informações do dispositivo de Bluetooth conectado.
Agradecimento: Andr. Ess
SVE-2021-19144 (CVE-2021-25374): Samsung Members
Gravidade: alta
Versão resolvida: 2.4.83.9 no Android O(8.1) e inferior e 3.9.00.9 no Android P(9.0) e superior
Relatado em: 4 de outubro de 2020
Descrição: uma vulnerabilidade de autorização inadequada no esquema “samsungrewards” do Samsung Members para deeplink nas versões 2.4.83.9 no Android O(8.1) e inferior e 3.9.00.9 no Android P(9.0) e superior permite que invasores remotos acessem dados de usuários associados à conta Samsung.
Agradecimento: Ken Gannon
SVE-2021-17083 (CVE-2021-25375): Samsung Email
Gravidade: alta
Versão resolvida: 6.1.41.0
Relatado em: 18 de março de 2020
Descrição: usar indicadores previsíveis para anexos no Samsung Email antes da versão 6.1.41.0 permite que invasores remotos obtenham anexos de outros e-mails quando os usuários abrem o anexo malicioso.
Agradecimento: Juno Im
SVE-2021-18085 (CVE-2021-25376): Samsung Email
Gravidade: moderada
Versão resolvida: 6.1.41.0
Relatado em: 17 de junho de 2020
Descrição: uma lógica de sincronização inadequada no Samsung Email antes da versão 6.1.41.0 pode vazar mensagens em determinada caixa de entrada como texto sem formatação quando a negociação STARTTLS falha.
Agradecimento: Damian Poddebniak, Fabian Ising
SVE-2021-20637 (CVE-2021-25377): Samsung Experience Service
Gravidade: moderada
Versão resolvida: 10.8.0.4 no Android P(9.0) e inferior e 12.2.0.5 no Android Q(10.0) e superior
Relatado em: 9 de fevereiro de 2021
Descrição: o redirecionamento de intenção nas versões 10.8.0.4 do Samsung Experience Service no Android P(9.0) e inferior e 12.2.0.5 no Android Q(10.0) e superior permite que o invasor execute uma ação privilegiada.
Agradecimento: Sergey Toshin do Oversecured Inc
SVE-2021-20386 (CVE-2021-25378): SmartThings
Gravidade: baixa
Versão resolvida: 1.7.63.6
Relatado em: 19 de janeiro de 2021
Descrição: o controle de acesso inadequado de determinada porta no SmartThings antes da versão 1.7.63.6 permite recusa de serviço temporária remota.
Agradecimento: Zhongquan Li (CytQ) do Xiaomi AIoT Security Lab
SVE-2021-20601 (CVE-2021-25379): Galeria
Gravidade: moderada
Versão resolvida: 5.4.16.1
Relatado em: 5 de fevereiro de 2021
Descrição: a vulnerabilidade de redirecionamento de intenção na Galeria antes da versão 5.4.16.1 permite que o invasor execute ação privilegiada.
Agradecimento: Sergey Toshin do Oversecured Inc
SVE-2021-19830 (CVE-2021-25380): Bixby
Gravidade: moderada
Versão resolvida: 3.0.53.02
Relatado em: 5 de dezembro de 2020
Descrição: o uso inadequado de condições excepcionais no Bixby antes da versão 3.0.53.02 permite que o invasor execute as ações registradas pelo usuário.
Agradecimento: Gregory DRAPERI
SVE-2021-19503 (CVE-2021-25381): conta Samsung
Gravidade: moderada
Versão resolvida: 10.8.0.4 no Android P(9.0) e inferior e 12.1.1.3 no Android Q(10.0) e superior
Relatado em: 2 de novembro de 2020
Descrição: usar PendingIntent não seguro na conta Samsung nas versões 10.8.0.4 do Android P(9.0) e inferior e 12.1.1.3 do Android Q(10.0) e superior permite que invasores locais executem ações não autorizadas sem permissão por meio do sequestro de PendingIntent.
Agradecimento: hard_______
SVE-2021-19656 (CVE-2021-25373): Customization Service
Gravidade: moderada
Versão resolvida: 2.2.02.1 em Android O(8.x), 2.4.03.0 em Android P(9.0), 2.7.02.1 em Android Q(10.0) e 2.9.01.1 em Android R(11.0)
Relatado em: 14 de novembro de 2020
Descrição: usar PendingIntent não seguro no Customization Service anterior à versão 2.2.02.1 no Android O(8.x), 2.4.03.0 no Android P(9.0), 2.7.02.1 no Android Q(10.0) e 2.9.01.1 no Android R(11.0) permite que invasores locais executem ações não autorizadas sem permissão por meio do sequestro de PendingIntent.
Agradecimento: hard_______
SVE-2021-19543 (CVE-2021-25352): Bixby Voice
Gravidade: moderada
Versão resolvida: 3.0.52.14
Relatado em: 4 de novembro de 2020
Descrição: uma vulnerabilidade que usa PendingIntent com intenção implícita no Bixby Voice anterior à versão 3.0.52.14 permite que invasores executem ação privilegiada sequestrando e modificando a intenção.
Agradecimento: hard_______
SVE-2021-19505 (CVE-2021-25354): Samsung Internet
Gravidade: moderada
Versão resolvida: 13.2.1.46
Relatado em: 3 de novembro de 2020
Descrição: a verificação de entrada inadequada no Samsung Internet antes da versão 13.2.1.46 permite que os invasores iniciem atividades não exportadas no Samsung Browser por meio de deeplink malicioso.
Agradecimento: Ken Gannon
SVE-2021-18156 (CVE-2021-25353): Galaxy Themes
Gravidade: moderada
Versão resolvida: 5.2.00.1215
Relatado em: 25 de junho de 2020
Descrição: usar PendingIntent vazio no Galaxy Themes antes da versão 5.2.00.1215 permite que invasores locais leiam/gravem diretórios de arquivos privados do aplicativo Galaxy Themes sem permissão, sequestrando o PendingIntent.
Agradecimento: hard_______
SVE-2021-19622 (CVE-2021-25349): editor de câmera lenta
Gravidade: moderada
Versão resolvida: 3.5.18.5 em Android Q(10.0)
Relatado em: 10 de novembro de 2020
Descrição: usar PendingIntent não seguro no editor de câmera lenta antes da versão 3.5.18.5 permite aos invasores locais ação não autorizada sem permissão por meio do sequestro de PendingIntent.
Agradecimento: hard_______
SVE-2021-18944 (CVE-2021-25350): conta Samsung
Gravidade: moderada
Versão resolvida: 12.1.1.3 em Android Q(10.0)
Relatado em: 16 de setembro de 2020
Descrição: a vulnerabilidade de exposição de informações na conta Samsung antes da versão 12.1.1.3 permite que invasores próximos fisicamente acessem as informações do usuário pelo log.
Agradecimento: haiping
SVE-2021-18858 (CVE-2021-25351): conta Samsung
Gravidade: moderada
Versão resolvida: 10.7.07 no Android P(9.0) e inferior e 12.1.1.3 no Android Q(10.0)
Relatado em: 10 de setembro de 2020
Descrição: controle de acesso inadequado no EmailValidationView da conta Samsung antes das versões 10.7.0.7 e 12.1.1.3 permite que invasores próximos fisicamente façam logout da conta de usuário no dispositivo sem senha de usuário.
Agradecimento: Alexey Dorogin
SVE-2021-19533 (CVE-2021-25355): Samsung Notes
Gravidade: moderada
Versão resolvida: 4.2.00.22
Relatado em: 3 de novembro de 2020
Descrição: usar PendingIntent não seguro no Samsung Notes antes da versão 4.2.00.22 permite aos invasores locais ação não autorizada sem permissão por meio do sequestro de PendingIntent.
Agradecimento: hard_______
SVE-2021-18723 (CVE-2021-25366): Samsung Internet
Gravidade: baixa
Versão resolvida: 13.2.1.70
Relatado em: 27 de agosto de 2020
Descrição: o controle de acesso inadequado no Samsung Internet antes da versão 13.2.1.70 permite que invasores próximos fisicamente ignorem a autenticação do modo secreto.
Agradecimento: Harsh Tyagi
SVE-2021-19506 (CVE-2021-25367): Samsung Notes
Gravidade: baixa
Versão resolvida: 4.2.00.22
Relatado em: 3 de novembro de 2020
Descrição: a vulnerabilidade path traversal no Samsung Notes antes da versão 4.2.00.22 permite que invasores acessem arquivos locais sem permissão.
Agradecimento: Ken Gannon
SVE-2021-19530 (CVE-2021-25368): Samsung Cloud
Gravidade: baixa
Versão resolvida: 4.7.0.3
Relatado em: 3 de novembro de 2020
Descrição: a vulnerabilidade de sequestro no Samsung Cloud antes da versão 4.7.0.3 permite que os invasores interceptem quando o provedor é executado.
Agradecimento: Zhongquan Li
SVE-2021-19532 (CVE-2021-25341): S Assistant
Gravidade: baixa
Versão resolvida: 6.5.01.22
Relatado em: 3 de novembro de 2020
Descrição: a chamada de provedor inexistente em S Assistant antes da versão 6.5.01.22 permite ações não autorizadas, incluindo ataque de recusa de serviço pelo sequestro do provedor.
Agradecimento: Zhongquan Li @ Xiaomi AIoT Security Lab
SVE-2021-19474 (CVE-2021-25348): Samsung Internet
Gravidade: baixa
Versão resolvida: 13.0.1.60
Relatado em: 30 de outubro de 2020
Descrição: a verificação de concessão de permissão inadequada no Samsung Internet antes da versão 13.0.1.60 permite o acesso a arquivos em armazenamento interno sem permissão autorizada do STORAGE.
Agradecimento: Abdulla Aldoseri
SVE-2021-18825 (CVE-2021-25331, CVE-2021-25332, CVE-2021-25333): Samsung Pay Mini
Gravidade: moderada
Versão resolvida: 4.0.14
Relatado em: 7 de setembro de 2020
Descrição: duas vulnerabilidades moderadas e uma vulnerabilidade baixa com controle de acesso inadequado no miniaplicativo Samsung Pay antes da v4.0.14 permitem acesso não autorizado a informações confidenciais na tela de bloqueio em condições específicas.
Agradecimento: Yogesh Anil Tantak
SVE-2021-18629 (CVE-2021-25342, CVE-2021-25343): SMP SDK, Samsung Members
Gravidade: baixa
Versão resolvida: SMP SDK[3.0.9], Samsung Members[2.4.81.13 no Android O(8.1) e inferior, e 3.8.00.13 no Android P(9.0) e superior]
Relatado em: 11 de agosto de 2020
Descrição: a chamada de provedor inexistente no Samsung Members antes da versão 2.4.81.13 (no Android O(8.1) e inferior) e 3.8.00.13 (no Android P(9.0) e superior) permite ações não autorizadas, incluindo ataque de recusa de serviço ao sequestrar o provedor.
Agradecimento: mykola
SVE-2020-18770: Samsung Email
Gravidade: moderada
Versão resolvida: 6.1.30.27
Relatado em: 1.º de setembro de 2020
Descrição: a vulnerabilidade de Cross-Site Scripting (XSS) nas versões v6.1.22.3 e anteriores do Samsung Email permite a injeção de script arbitrário quando um usuário executa a ação de copiar e colar.
Agradecimento: Gregory DRAPERI
SVE-2020-18471: Meus Arquivos
Gravidade: baixa
Versão resolvida: 11.5.02.391 em Android Q(10.0) e 10.1.11.391 em Android P(9.0)
Relatado em: 26 de julho de 2020
Descrição: uma vulnerabilidade usando PendingIntent implícito em versões v11.1.00.121 e anteriores do Meus Arquivos permite que os invasores leiam/gravem arquivos arbitrários em sdcard por meio do sequestro do PendingIntent.
Agradecimento: hard_______
SVE-2020-16923: Bixby Vision
Gravidade: moderada
Versão resolvida: 3.7.10
Relatado em: 25 de fevereiro de 2020
Descrição: uma vulnerabilidade nas versões do Bixby Vision anteriores a 3.7.10 permite vazamento de informações.
Agradecimento: Gregory DRAPERI
SVE-2020-18935: Find My Mobile
Gravidade: moderada
Versão resolvida: v7.2.08.8
Relatado em: 15 de setembro de 2020
Descrição: as versões v7.2.05.44 e anteriores do Find My Mobile expõem informações confidenciais na gravação de log, que pode ser facilmente descoberto.
Agradecimento: haiping
SVE-2020-18693: Samsung Notes
Gravidade: moderada
Versão resolvida: 4.1.0
Relatado em: 23 de agosto de 2020
Descrição: o recurso de bloqueio nas versões do Samsung Notes anteriores a 4.1.0 não controla adequadamente o acesso, permitindo acesso não autorizado a notas protegidas pelo compartilhamento.
Agradecimento: Harsh Tyagi
SVE-2020-18356: Galaxy Store
Gravidade: moderada
Versão resolvida: v4.5.20.7
Relatado em: 13 de julho de 2020
Descrição: usar PendingIntent vazio nas versões v4.5.18.5 e anteriores da Galaxy Store permite leitura/gravação não autorizada em diretórios de arquivos privados do aplicativo Galaxy Store por meio do sequestro do PendingIntent.
Agradecimento: hard_______
Atualizações de dezembro de 2020
SVE-2020-18428: Samsung Pay
Gravidade: baixa
Versão resolvida: 4.0.20
Relatado em: 19 de julho de 2020
Descrição: as versões do SamsungPay anteriores a 4.0.20 não bloqueiam adequadamente o acesso não autorizado a dispositivos bloqueados, permitindo o acesso às informações do último pagamento.
Agradecimento: Vo Viet Trung
SVE-2020-18271: Galaxy Store
Gravidade: crítico
Versão resolvida: 4.5.19.12
Relatado em: 7 de julho de 2020
Descrição: a vulnerabilidade de controle de acesso inadequado nas versões da Galaxy Store anteriores a 4.5.19.12 permite que os invasores instalem qualquer aplicativo registrado na Galaxy Store remotamente.
Agradecimento: hard_______
SSVE-2020-18254: Galaxy Store
Gravidade: moderada
Versão resolvida: 4.5.20.7
Relatado em: 6 de julho de 2020
Descrição: uma vulnerabilidade que usa PendingIntent com intenção vazia nas versões do aplicativo Galaxy Store anteriores a 4.5.20.7 permite a execução de ação privilegiada sequestrando e modificando a intenção.
Agradecimento: hard_______
SVE-2020-18158: ThemeStore
Gravidade: moderada
Versão resolvida: 5.1.21
Relatado em: 25 de junho de 2020
Descrição: as versões do ThemeStore anteriores a 5.1.21 não verificam corretamente o URL do deeplink, permitindo que invasores remotos obtenham dados da conta Samsung.
Agradecimento: hard_______
Atualizações de novembro de 2020
SVE-2020-18469: Samsung Members
Gravidade: moderada
Versão resolvida: 2.4.80.08 no Android O(8.1) e inferior e 3.7.00.08 no Android P(9.0) e superior
Relatado em: 25 de julho de 2020
Descrição: uma vulnerabilidade usando PendingIntent com intenção implícita no ScreenRecordingService na versão do Samsung Members anterior a 2.4.80.08 ou 3.7.00.08 permite a execução de ação privilegiada sequestrando e modificando a intenção.
Agradecimento: hard_______
SVE-2020-18468: Samsung Members
Gravidade: moderada
Versão resolvida: 2.4.80.08 no Android O(8.1) e inferior e 3.7.00.08 no Android P(9.0) e superior
Relatado em: 25 de julho de 2020
Descrição: uma vulnerabilidade que usa PendingIntent com intenção implícita no ScreenRecordingService nas versões do Samsung Members anteriores a 2.4.80.08 ou 3.7.00.08 permite a execução de ação privilegiada sequestrando e modificando a intenção.
Agradecimento: hard_______
SVE-2020-18354: Samsung Members
Gravidade: alta
Versão resolvida: 2.4.80 no Android O(8.1) e inferior, e 3.8.00 no Android P(9.0) e superior
Relatado em: 13 de julho de 2020
Descrição: o RewardsBridge na interface java das versões do Samsung Members anteriores a 2.4.80 ou 3.8.00 permite acesso não autorizado a informações pessoais confidenciais no Samsung Rewards por meio de deeplink desprotegido.
Agradecimento: DRAPERI Gregory
SVE-2020-18025: Samsung Internet
Gravidade: alta
Versão resolvida: 12.1.1.36
Relatado em: 12 de junho de 2020
Descrição: permissão desnecessária concedida nas versões do Samsung Internet anteriores a 12.1.1.36 permite acesso não autorizado aos dados do usuário na Pasta Segura.
Agradecimento: Rahul D Kankrale
SVE-2020-17925: Galeria
Gravidade: moderada
Versão resolvida: 11.5.00.33 e 11.5.02.4 no Android Q(10.0) e 10.2.01.5 no Android P(9.0)
Relatado em: 5 de junho de 2020
Descrição: uma vulnerabilidade na versão da Galeria anterior a 11.5.00.33, 11.5.02.4 ou 10.2.01.5 permite acesso não autorizado a todas as fotos na tela de bloqueio através da etiqueta de pessoas.
Agradecimento: Dawid Moczadło
SVE-2020-17609: Samsung Browser
Gravidade: baixa
Versão resolvida: 12.1.1.36
Relatado em: 15 de maio de 2020
Descrição: a vulnerabilidade Universal Cross Site Scripting nas versões do Samsung Internet anteriores a 12.1.1.36 permite o ataque de phishing por meio da função de scanner de código QR.
Agradecimento: Nikhil Mittal
SVE-2020-16941: Samsung Health
Gravidade: moderada
Versão resolvida: 6.11.0.061
Relatado em: 27 de fevereiro de 2020
Descrição: os arquivos de imagem nas versões do Samsung Health anteriores a 6.11.0.061 são armazenados externamente, permitindo acesso não autorizado a informações confidenciais nos arquivos de imagem.
Agradecimento: Sergey Toshin
Atualizações de outubro de 2020
SVE-2020-17676: Samsung Internet
Gravidade: moderada
Versão resolvida: 12.1.1.13
Relatado em: 20 de maio de 2020
Descrição: existe uma possível vulnerabilidade de vazamento de informações nas versões do Samsung Internet anteriores à 12.1.1.13.
Agradecimento: Pedro Oliveira
Atualizações de setembro de 2020
SVE-2019-15303: vulnerabilidade de atribuição de permissão incorreta de recurso confidencial em CP
Gravidade: moderada
Relatado em: 20 de agosto de 2019
SVE-2019-16400: vulnerabilidade que permite vazamento de notificação da Pasta Segura pelo Galaxy Wearable
Gravidade: moderada
Relatado em: 4 de dezembro de 2019
SVE-2020-16605: vulnerabilidade de injeção de script no Samsung Email
Gravidade: alta
Relatado em: 6 de janeiro de 2020
SVE-2020-16940: vulnerabilidade de controle de acesso inadequado no Samsung Notes
Gravidade: moderada
Relatado em: 27 de fevereiro de 2020
SVE-2020-17286: vulnerabilidade que permite a divulgação de informações do Live Message na tela de bloqueio
Gravidade: moderada
Relatado em: 8 de abril de 2020
SVE-2020-17629: vulnerabilidade de ausência de verificação de validação de entrada no Samsung Health, permitindo carga arbitrária no webview e execução de código Javascript.
Gravidade: moderada
Relatado em: 15 de maio de 2020
Agradecimentos
Agradecemos aos seguintes pesquisadores por ajudar a Samsung a melhorar a segurança dos produtos e serviços.
Anonymous: SVE-2019-15303
Bogdan: SVE-2019-16400
grigoritchy: SVE-2020-16605
Sergey Toshin: SVE-2020-16940
Sergey Toshin: SVE-2020-16942
Bogdan: SVE-2020-17286
Gregory DRAPERI: SVE-2020-17629
Atualizações de agosto de 2020
SVE-2019-16575: vulnerabilidade de divulgação de endereço MAC Bluetooth na gravação de log
Gravidade: baixa
Relatado em: 31 de dezembro de 2019
SVE-2020-16707: vulnerabilidade que permite a redefinição do tempo de espera pela reinicialização do dispositivo wearable
Gravidade: baixa
Relatado em: 20 de janeiro de 2020
SVE-2020-16725: vulnerabilidade de divulgação de informações confidenciais no Samsung Pay
Gravidade: moderada
Relatado em: 26 de janeiro de 2020
SVE-2020-16988: vulnerabilidade de execução remota de código no Webview JSBridge da Theme Store
Gravidade: moderada
Relatado em: 7 de março de 2020
SVE-2020-17050: caminho de pesquisa sem aspas para vulnerabilidade de escalonamento de privilégio local no Consulting Mode
Gravidade: baixa
Relatado em: 14 de março de 2020
SVE-2020-17269: vulnerabilidade de sequestro remoto de fones de ouvido em certas condições
Gravidade: alta
Relatado em: 6 de abril de 2020
SVE-2020-17479: vulnerabilidade de sequestro de DLL no Samsung Consulting Mode
Gravidade: alta
Relatado em: 5 de maio de 2020
SVE-2020-17478: vulnerabilidade de sequestro de DLL no Samsung Consulting Mode
Gravidade: alta
Relatado em: 5 de maio de 2020
SVE-2020-17046: vulnerabilidade de substituição de ACL no PC Cleaner
Gravidade: alta
Relatado em: 14 de março de 2020
SVE-2020-17045: vulnerabilidade de substituição de ACL no PC Cleaner
Gravidade: alta
Relatado em: 14 de março de 2020
SVE-2020-17044: vulnerabilidade de substituição de ACL no OSD do Samsung Settings
Gravidade: alta
Relatado em: 14 de março de 2020
SVE-2020-17043: vulnerabilidade de substituição de ACL no pacote de expansão do Samsung Settings
Gravidade: alta
Relatado em: 14 de março de 2020
SVE-2020-17363: vulnerabilidade de divulgação de informações na borda Reminder
Gravidade: moderada
Relatado em: 19 de abril de 2020
Agradecimentos
Agradecemos aos seguintes pesquisadores por ajudar a Samsung a melhorar a segurança dos produtos e serviços.
SVE-2020-16978: vulnerabilidade que permite acesso arbitrário à tela de bloqueio através da barra de ferramentas do teclado
Gravidade: alta
Relatado em: 5 de março de 2020
SVE-2020-17055: vulnerabilidade no Samsung Internet 11.1.1.52, permitindo a injeção de código Javascript em páginas da web arbitrárias
Gravidade: moderada
Relatado em: 15 de março de 2020
SVE-2020-16909: caminho de pesquisa sem aspas para vulnerabilidade de escalonamento de privilégio local em sServiceLoopBackSvc
Gravidade: baixa
Relatado em: 23 de fevereiro de 2020
SVE-2020-16910: caminho de pesquisa sem aspas para vulnerabilidade de escalonamento de privilégio local no serviço da Samsung Pen
Gravidade: baixa
Relatado em: 23 de fevereiro de 2020
SVE-2020-17504: controle de acesso inadequado da vulnerabilidade do MCSBridge no aplicativo Samsung Galaxy Store
Gravidade: moderada
Relatado em: 8 de maio de 2020
Agradecimentos
Agradecemos aos seguintes pesquisadores por ajudar a Samsung a melhorar a segurança dos produtos e serviços.
Juho Nurminen of Mattermost: SVE-2020-17055
Anonymous: SVE-2020-17504
Atualizações de junho de 2020
SVE-2019-16301: vulnerabilidade que permite a instalação remota de aplicativos registrados na Galaxy Store
Gravidade: crítico
Relatado em: 28 de novembro de 2019
SVE-2020-16740 e SVE-2020-16749: vulnerabilidade directory traversal no modo Samsung Car
Gravidade: moderada
Relatado em: 28 de janeiro de 2020 e 30 de janeiro de 2020
SVE-2020-16831: Vulnerabilidade no Samsung Internet 10.2.01.10 permitindo falsificação da barra de endereço do navegador da web
Gravidade: baixa
Relatado em: 10 de fevereiro de 2020
Agradecimentos
Agradecemos aos seguintes pesquisadores por ajudar a Samsung a melhorar a segurança dos produtos e serviços.
Juno Im (@junorouse) do Theori: SVE-2019-16301
Shaechi Security Lab: SVE-2020-16740, SVE-2020-16749
YoKo Kho: SVE-2020-16831
Atualizações de maio de 2020
SVE-2019-16169: vulnerabilidade que permite o desvio de verificação de assinatura de firmware no bootloader do NFC
Gravidade: moderada
Relatado em: 19 de novembro de 2019
SVE-2019-16317: vulnerabilidade que permite o desvio de restrição da operadora usando Bixby Routines para habilitar o hotspot móvel
Gravidade: moderada
Relatado em: 28 de novembro de 2019
SVE-2019-16335: falsificação de URL e divulgação de informações do dispositivo no Samsung Notes
Gravidade: baixa
Relatado em: 1.º de dezembro de 2019
SVE-2020-16695: vulnerabilidade de instalação arbitrária do aplicativo no modo Samsung Car
Gravidade: alta
Relatado em: 15 de janeiro de 2020
Agradecimentos
Agradecemos aos seguintes pesquisadores por ajudar a Samsung a melhorar a segurança dos produtos e serviços.
Christopher Wade: SVE-2019-16169
Bogdan: SVE-2019-16317
Numan OZDEMIR: SVE-2019-16335
Shaechi Security Lab: SVE-2020-16695
Atualizações de abril de 2020
SVE-2019-15426: vulnerabilidade na injeção SQL local no provedor de conteúdo para o Upday
Gravidade: moderada
Relatado em: 1.º de setembro de 2019
SVE-2019-15974: vulnerabilidade que permite a exposição de notificação da Pasta Segura no Link para Windows
Gravidade: moderada
Relatado em: 21 de outubro de 2019
SVE-2020-16606: vulnerabilidade de divulgação de informações confidenciais na borda de widget
Gravidade: moderada
Relatado em: 6 de janeiro de 2020
Agradecimentos
Agradecemos aos seguintes pesquisadores por ajudar a Samsung a melhorar a segurança dos produtos e serviços.
Hutton, Calum: SVE-2019-15426
Lennart Pas: SVE-2019-15974
Andr. Ess: SVE-2020-16606
Atualizações de março de 2020
SVE-2019-15097: vulnerabilidade path traversal no Gear Fit Manager
Gravidade: baixa
Relatado em: 15 de julho de 2019
Agradecimentos
Agradecemos aos seguintes pesquisadores por ajudar a Samsung a melhorar a segurança dos produtos e serviços.
Julien Thomas: SVE-2019-15097
Atualizações de fevereiro de 2020