Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-00860: Уязвимость изолированной среды iframe веб-браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности

Описание уязвимости	Уязвимость изолированной среды iframe веб-браузера Google Chrome связана с некорректным ограничением визуализированных слоев пользовательского интерфейса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности
Вендор	Microsoft Corp., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc., Google Inc., АО "НППКТ", АО «Концерн ВНИИНС»
Наименование ПО	Microsoft Edge, Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), OpenSUSE Leap, SUSE Package Hub for SUSE Linux Enterprise, Google Chrome, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	- (Microsoft Edge) 9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 15.1 (OpenSUSE Leap) 10 (Debian GNU/Linux) 15.2 (OpenSUSE Leap) 15 SP2 (SUSE Package Hub for SUSE Linux Enterprise) до 88.0.4324.96 (Google Chrome) 15 SP1 (SUSE Package Hub for SUSE Linux Enterprise) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) до 2.1 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Прикладное ПО информационных систем, Операционная система
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Novell Inc. OpenSUSE Leap 15.1 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Novell Inc. OpenSUSE Leap 15.2 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 (запись в едином реестре российских программ №369) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Некорректное ограничение визуализируемых слоев пользовательского интерфейса
Идентификатор типа ошибки	CWE-1021
Класс уязвимости	Уязвимость архитектуры
Дата выявления	20.01.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS 3.0: Вектор не задан
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Google Chrome: https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop_19.html Для программных продуктов Microsoft Corp.: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-21139 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-21139 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2021-21139/ Для Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 Для ОСОН Основа: Обновление программного обеспечения chromium до версии 90.0.4430.212+repack-1~deb10u1.osnova2 Для ОС ОН «Стрелец»: Обновление программного обеспечения chromium до версии 105.0.5195.125+repack2-1~deb11u1.osnova1.strelets
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Подмена при взаимодействии
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop_19.html https://crbug.com/937131 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-21139 https://nvd.nist.gov/vuln/detail/CVE-2021-21139 https://security-tracker.debian.org/tracker/CVE-2021-21139 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.suse.com/security/cve/CVE-2021-21139/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-21139
Прочая информация	Данные уточняются

Последние изменения