БДУ - Уязвимости

BDU:2020-01775: Уязвимость компонента определения области диалогового окна веб-браузера Google Chrome, позволяющая нарушителю оказать воздействие на целостность данных

Описание уязвимости	Уязвимость компонента определения области диалогового окна веб-браузера Google Chrome связана с недостатком механизма контроля за разрешениями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных через специально созданную HTML-страницу
Вендор	Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Red Hat Inc., Fedora Project, Novell Inc., Google Inc., АО «Концерн ВНИИНС»
Наименование ПО	Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Fedora, OpenSUSE Leap, SUSE Package Hub for SUSE Linux Enterprise, Google Chrome, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) Desktop 6.0 (Red Hat Enterprise Linux) Server 6.0 (Red Hat Enterprise Linux) Workstation 6.0 (Red Hat Enterprise Linux) 8.0 (Debian GNU/Linux) 29 (Fedora) 15.0 (OpenSUSE Leap) 15.1 (OpenSUSE Leap) 30 (Fedora) 12 SP3 (SUSE Package Hub for SUSE Linux Enterprise) до 75.0.3770.80 (Google Chrome) 1.0 (ОС ОН «Стрелец») до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux Desktop 6.0 Red Hat Inc. Red Hat Enterprise Linux Server 6.0 Red Hat Inc. Red Hat Enterprise Linux Workstation 6.0 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Fedora Project Fedora 29 Novell Inc. OpenSUSE Leap 15.0 Novell Inc. OpenSUSE Leap 15.1 Fedora Project Fedora 30 АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Разрешения, привилегии и средства управления доступом
Идентификатор типа ошибки	CWE-264
Класс уязвимости	Уязвимость кода
Дата выявления	27.06.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:C/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для chromium: Обновление программного обеспечения до 75.0.3770.80 или более поздней версии Для Debian: Обновление программного обеспечения (пакета chromium) до 76.0.3809.100-1~deb10u1 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета chromium) до 76.0.3809.100-1~deb10u1 или более поздней версии Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-5833/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-5833 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CPM7VPE27DUNJLXM4F5PAAEFFWOEND6X/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FKN4GPMBQ3SDXWB4HL45II5CZ7P2E4AI/ Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОС ОН «Стрелец»: Обновление программного обеспечения chromium до версии 105.0.5195.125+repack2-1~deb11u1.osnova1.strelets
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.suse.com/security/cve/CVE-2019-5833/ https://access.redhat.com/security/cve/CVE-2019-5833 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CPM7VPE27DUNJLXM4F5PAAEFFWOEND6X/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FKN4GPMBQ3SDXWB4HL45II5CZ7P2E4AI/ https://chromereleases.googleblog.com/2019/06/stable-channel-update-for-desktop.html https://nvd.nist.gov/vuln/detail/CVE-2019-5833 https://security-tracker.debian.org/tracker/CVE-2019-5833 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-5833
Прочая информация	Данные уточняются

Последние изменения

27.11.2023 Уязвимость программного обеспечения Blitz Identity Provider, связанная с возможностью перенаправления URL-адреса, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес
27.11.2023 Уязвимость метода UpdateAction программного обеспечения сетевого мониторинга SolarWinds Orion, позволяющая нарушителю выполнить произвольный код с привилегиями сетевой службы (NETWORK SERVICE)
27.11.2023 Уязвимость программного обеспечения управления и конфигурирования сети Siemens SINEMA Server, позволяющая нарушителю выполнить произвольный код с привилегиями SYSTEM
27.11.2023 Уязвимость функции mremap() ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привилегии
27.11.2023 Уязвимость реализации протоколов TLS и SSL VPN-клиента Cisco AnyConnect микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость программного обеспечения для защиты от вредоносных программ Cisco Secure Endpoint Connector для Windows, связанная с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю загрузить произвольные файлы
27.11.2023 Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость режима чтения (Reader Mode) браузера Firefox for iOS, позволяющая нарушителю повысить свои привилегии

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-01775: Уязвимость компонента определения области диалогового окна веб-браузера Google Chrome, позволяющая нарушителю оказать воздействие на целостность данных