BDU:2022-01561: Уязвимость менеджера паролей браузера Google Chrome, позволяющая нарушителю раскрыть защищаемую информацию

Описание уязвимости Уязвимость менеджера паролей браузера Google Chrome связана с недостатком в механизме подтверждения источника данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию с помощью специально созданной веб-страницы
Вендор ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, Microsoft Corp., Google Inc., АО "НППКТ"
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, OpenSUSE Leap, Fedora, Suse Linux Enterprise Server, SUSE Linux Enterprise Server for SAP Applications, Microsoft Edge, Google Chrome, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 9.0 (Debian GNU/Linux)
  • 10.0 (Debian GNU/Linux)
  • 15.3 (OpenSUSE Leap)
  • 11.0 (Debian GNU/Linux)
  • 35 (Fedora)
  • 1.7 (Astra Linux Special Edition)
  • 15 SP3 (Suse Linux Enterprise Server)
  • 15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • до 97.0.1072.55 (Microsoft Edge)
  • до 97.0.4692.71 (Google Chrome)
  • 4.7 (Astra Linux Special Edition)
  • до 2.4.2 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Ошибка подтверждения источника данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 04.01.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:

Для Google Chrome:
https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop.html

Для Microsoft Edge:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-0120

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-0120

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5PAGL5M2KGYPN3VEQCRJJE6NA7D5YG5X/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-0120.html

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения chromium до версии 97.0.4692.99+repack-1osnova1

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения