Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-01754: Уязвимость библиотеки передачи сообщений Mojo браузера Google Chrome, связанная с использованием памяти после ее освобождения, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость библиотеки передачи сообщений Mojo браузера Google Chrome связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании через специально созданную HTML-страницу
Вендор	АО «НПО РусБИТех», Red Hat Inc., Сообщество свободного программного обеспечения, Novell Inc., Google Inc.
Наименование ПО	Astra Linux, Red Hat Enterprise Linux, Debian GNU/Linux, OpenSUSE Leap, SUSE Package Hub for SUSE Linux Enterprise, Google Chrome
Версия ПО	1.6 «Смоленск» (Astra Linux) Desktop 6.0 (Red Hat Enterprise Linux) Server 6.0 (Red Hat Enterprise Linux) Workstation 6.0 (Red Hat Enterprise Linux) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 15.0 (OpenSUSE Leap) 15.1 (OpenSUSE Leap) 12 SP3 (SUSE Package Hub for SUSE Linux Enterprise) до 77.0.3865.75 (Google Chrome)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	АО «НПО РусБИТех» Astra Linux 1.6 «Смоленск» Red Hat Inc. Red Hat Enterprise Linux Desktop 6.0 Red Hat Inc. Red Hat Enterprise Linux Server 6.0 Red Hat Inc. Red Hat Enterprise Linux Workstation 6.0 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Novell Inc. OpenSUSE Leap 15.0 Novell Inc. OpenSUSE Leap 15.1
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	25.11.2019
Базовый вектор уязвимости	AV:N/AC:M/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Google Chrome: Обновление программного обеспечения до 78.0.3904.70 или более поздней версии Для Debian: Обновление программного обеспечения (пакета chromium) до 79.0.3945.130-2 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета chromium) до 79.0.3945.130-2 или более поздней версии Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-5872/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-5872
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.suse.com/security/cve/CVE-2019-5872/ https://access.redhat.com/security/cve/CVE-2019-5872 https://chromereleases.googleblog.com/2019/09/stable-channel-update-for-desktop.html https://nvd.nist.gov/vuln/detail/CVE-2019-5872 https://security-tracker.debian.org/tracker/CVE-2019-5872 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-5872
Прочая информация	Данные уточняются

Последние изменения