Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-00168: Уязвимость обработчика PDF-содержимого PDFium веб-браузера Google Chrome, позволяющая нарушителю оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании

Описание уязвимости	Уязвимость обработчика PDF-содержимого PDFium веб-браузера Google Chrome связана с использованием памяти после освобождения. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании с помощью специально сформированной веб-страницы
Вендор	АО «НПО РусБИТех», Сообщество свободного программного обеспечения, Novell Inc., Google Inc.
Наименование ПО	Astra Linux, Debian GNU/Linux, OpenSUSE Leap, SUSE Package Hub for SUSE Linux Enterprise, Google Chrome
Версия ПО	1.6 «Смоленск» (Astra Linux) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 15.0 (OpenSUSE Leap) 15.1 (OpenSUSE Leap) 12 SP3 (SUSE Package Hub for SUSE Linux Enterprise) до 78.0.3904.87 (Google Chrome) 15.1 NonFree (OpenSUSE Leap)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	АО «НПО РусБИТех» Astra Linux 1.6 «Смоленск» Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Novell Inc. OpenSUSE Leap 15.0 Novell Inc. OpenSUSE Leap 15.1 Novell Inc. OpenSUSE Leap 15.1 NonFree
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	12.10.2019
Базовый вектор уязвимости	AV:N/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций производителя: Для Google Chrome: https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html Для Debian: Обновление программного обеспечения (пакета chromium) до 79.0.3945.130-2 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета chromium) до 79.0.3945.130-2 или более поздней версии Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-13721/ http://lists.opensuse.org/opensuse-security-announce/2019-12/msg00022.html
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html https://nvd.nist.gov/vuln/detail/CVE-2019-13721 https://security-tracker.debian.org/tracker/CVE-2019-13721 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16 https://www.suse.com/security/cve/CVE-2019-13721/ http://lists.opensuse.org/opensuse-security-announce/2019-12/msg00022.html
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-13721
Прочая информация	Данные уточняются

Последние изменения