top of page

Falha no Brave permite exibição falsa da fonte de download

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 21 de jan.
  • 2 min de leitura

Hackers podem explorar uma vulnerabilidade no navegador Brave que leva à exibição incorreta da fonte de um download.


O navegador Brave é amplamente popular devido à sua funcionalidade integrada de bloqueio de anúncios. No entanto, foi descoberta uma vulnerabilidade de segurança que pode permitir que hackers exibam falsamente a origem de um download. Uma atualização do Brave corrige essa brecha de segurança.


O usuário com o nome de perfil syarif07 relatou o erro de segurança na plataforma de recompensas por bugs HackerOne. Hackers conseguem exibir um URL diferente no diálogo “Salvar arquivo” do sistema operacional, no lugar da verdadeira fonte do download. Segundo syarif07, isso ocorre porque o Brave avalia o cabeçalho "referrer" (referenciador) para exibição, permitindo que seja falsificado, e assim, um site confiável pode ser simulado. Isso possibilita que invasores camuflem downloads de malware, por exemplo.

Inicialmente, o relatório classificava a gravidade da vulnerabilidade como “crítica”, mas os desenvolvedores do Brave a rebaixaram para “alta” – vulnerabilidades críticas exigiriam uma correção urgente (hotfix), o que lhes deu mais tempo para corrigir o programa. Um número CVE foi atribuído e publicado esta manhã (CVE-2025-23086, sem valor CVSS, risco “alto”).


O registro no CVE descreve a falha assim: em grande parte das plataformas desktop, o Brave Browser 1.70 a 1.73 utiliza um recurso para exibir a página de origem no diálogo de seleção de arquivos fornecido pelo sistema operacional, quando uma página apresenta uma caixa de upload ou download de arquivos. A origem não era corretamente inferida em alguns casos, o que, junto com uma vulnerabilidade de referenciador aberto em um site confiável, poderia ser explorado por um site malicioso para exibir um download como vindo de um site confiável.


O Brave corrigiu a vulnerabilidade na versão 1.74.48, lançada na metade da semana passada. Ela pode ser baixada na página de downloads do Brave. Qualquer pessoa que use o navegador deve verificar se a versão corrigida ou uma mais recente já está ativa e atualizar, se necessário.


Via - Heise

 
 
 

Comments

bottom of page