Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-01714: Уязвимость расширений браузера Google Chrome, связанная с использованием области памяти после её освобождения, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Основная информация
Подробнее

Описание уязвимости

Уязвимость расширений браузера Google Chrome связана с использованием области памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Fedora Project, Google Inc., АО "НППКТ"

Наименование ПО

Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Common Edition (запись в едином реестре российских программ №4433), Debian GNU/Linux, Fedora, Google Chrome, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
2.12 «Орёл» (Astra Linux Common Edition)
10.0 (Debian GNU/Linux)
33 (Fedora)
до 84.0.4147.125 (Google Chrome)
до 2.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369)
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433)
Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
Fedora Project Fedora 33

Тип ошибки

Использование после освобождения

Идентификатор типа ошибки

CWE-416

Класс уязвимости

Уязвимость кода

Дата выявления

21.09.2020

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Google Chrome:
Обновление программного обеспечения до 88.0.4324.182-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета chromium) до 87.0.4280.141-0.1~deb10u1 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета chromium) до 87.0.4280.141-0.1~deb10u1 или более поздней версии
И использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EE7XWIZBME7JAY7N6CGPET4CLNHHEIVT/

Для ОСОН Основа:
Обновление программного обеспечения chromium до версии 90.0.4430.212+repack-1~deb10u1.osnova2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EE7XWIZBME7JAY7N6CGPET4CLNHHEIVT/
https://nvd.nist.gov/vuln/detail/CVE-2020-6554
https://security-tracker.debian.org/tracker/CVE-2020-6554
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2020-6554

Прочая информация

Данные уточняются

Последние изменения