Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-01510: Уязвимость реализации external protocol браузера Google Chrome, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости	Уязвимость реализации external protocol браузера Google Chrome связана с некорректной проверкой безопасности для стандартных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор	Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Fedora Project, Novell Inc., Google Inc., АО "НППКТ"
Наименование ПО	Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Common Edition (запись в едином реестре российских программ №4433), Fedora, OpenSUSE Leap, Google Chrome, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 10 (Debian GNU/Linux) 31 (Fedora) 15.1 NonFree (OpenSUSE Leap) 32 (Fedora) 15.2 NonFree (OpenSUSE Leap) до 84.0.4147.89 (Google Chrome) до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Сообщество свободного программного обеспечения Debian GNU/Linux 10 Fedora Project Fedora 31 Novell Inc. OpenSUSE Leap 15.1 NonFree Fedora Project Fedora 32 Novell Inc. OpenSUSE Leap 15.2 NonFree
Тип ошибки	Неправильно реализованная проверка безопасности для стандартных элементов
Идентификатор типа ошибки	CWE-358
Класс уязвимости	Уязвимость кода
Дата выявления	22.07.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Google Chrome: https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop.html Для Debian: https://security-tracker.debian.org/tracker/CVE-2020-6522 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MTRPPTKZ2RKVH2XGQCWNFZ7FOGQ5LLCA/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MYIDWCHG24ZTFD4P42D4A4WWPPA74BCG/ Для программных продуктов Novell Inc.: http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00069.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00007.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00018.html http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00041.html Для ОСОН Основа: Обновление программного обеспечения chromium до версии 90.0.4430.212+repack-1~deb10u1.osnova2
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00069.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00007.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00018.html http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00041.html https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop.html https://crbug.com/1052093 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MTRPPTKZ2RKVH2XGQCWNFZ7FOGQ5LLCA/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MYIDWCHG24ZTFD4P42D4A4WWPPA74BCG/ https://nvd.nist.gov/vuln/detail/CVE-2020-6522 https://security-tracker.debian.org/tracker/CVE-2020-6522 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-6522
Прочая информация	Данные уточняются

Последние изменения