O Google corrigiu uma vulnerabilidade na ferramenta Quick Share para Windows que permitia o envio silencioso de arquivos para dispositivos de vítimas sem consentimento ou provocava falhas no sistema (DoS). A falha, catalogada como CVE-2024-10668 e com pontuação CVSS de 5.9, foi descoberta pela SafeBreach Labs e afeta versões anteriores à 1.0.2002.2, liberada após divulgação responsável em agosto de 2024.
A vulnerabilidade é, na prática, uma falha nas correções anteriores de duas das dez brechas já relatadas em 2024 sob o codinome QuickShell. As falhas anteriores (CVE-2024-38271 e CVE-2024-38272) tinham o potencial de ser encadeadas para permitir execução arbitrária de código em sistemas Windows. O Quick Share é o sistema de compartilhamento por proximidade do Google, equivalente ao AirDrop da Apple, e permite a transferência de arquivos entre dispositivos Android, Chromebooks e computadores com Windows próximos fisicamente.
Apesar das correções aplicadas anteriormente, os pesquisadores descobriram que ainda era possível burlar o pedido de autorização do destinatário para o recebimento de arquivos, utilizando o mesmo “payload ID” para enviar dois arquivos distintos durante uma única sessão. Com isso, apenas um dos arquivos era apagado, deixando o segundo acessível na pasta de Downloads. Além disso, o ataque DoS podia ser acionado com o uso de nomes de arquivos manipulados contendo bytes UTF-8 inválidos, o que levava o aplicativo a travar.
