Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-01188: Уязвимость обработчика JavaScript-сценариев V8 браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости	Уязвимость обработчика JavaScript-сценариев V8 браузера Google Chrome связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации с помощью специально созданной HTML-страницы
Вендор	Red Hat Inc., Novell Inc., Google Inc., АО «Концерн ВНИИНС»
Наименование ПО	Red Hat Enterprise Linux, OpenSUSE Leap, Google Chrome, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	7 (Red Hat Enterprise Linux) 8 (Red Hat Enterprise Linux) 15.1 (OpenSUSE Leap) 15.1 NonFree (OpenSUSE Leap) 8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux) 15.2 (OpenSUSE Leap) 8.1 Extended Update Support (Red Hat Enterprise Linux) 15.2 NonFree (OpenSUSE Leap) 8.2 Extended Update Support (Red Hat Enterprise Linux) до 87.0.4280.88 (Google Chrome) 1.0 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 IA-32 Red Hat Inc. Red Hat Enterprise Linux 7 Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. OpenSUSE Leap 15.1 Novell Inc. OpenSUSE Leap 15.1 NonFree Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions Novell Inc. OpenSUSE Leap 15.2 Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support Novell Inc. OpenSUSE Leap 15.2 NonFree Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177)
Тип ошибки	Раскрытие информации
Идентификатор типа ошибки	CWE-200
Класс уязвимости	Уязвимость кода
Дата выявления	23.11.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Google Chrome: https://chromereleases.googleblog.com/2020/12/stable-channel-update-for-desktop.html https://crbug.com/1151890 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2020-16042/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-16042 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2020-16042 https://bugs.chromium.org/p/chromium/issues/detail?id=1151890 https://chromereleases.googleblog.com/2020/12/stable-channel-update-for-desktop.html https://nvd.nist.gov/vuln/detail/CVE-2020-16042 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://www.anti-malware.ru/news/2020-12-07-114534/34431 https://www.suse.com/security/cve/CVE-2020-16042/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-16042
Прочая информация	Данные уточняются

Последние изменения