BDU:2022-04198: Уязвимость реализации технологии WebRTC браузера Google Chrome, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость реализации технологии WebRTC браузера Google Chrome связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Google Inc., АО "НППКТ"
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Google Chrome, WebKitGTK, WPE WebKit, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 10.0 (Debian GNU/Linux)
  • 11.0 (Debian GNU/Linux)
  • 1.7 (Astra Linux Special Edition)
  • до 102.0.5005.148 (Google Chrome)
  • до 103.0.5060.114 (Google Chrome)
  • до 2.36.5 (WebKitGTK)
  • до 2.36.5 (WPE WebKit)
  • до 2.5.1 (ОСОН ОСнова Оnyx)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Переполнение буфера в куче
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 04.07.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств защиты информации с функцией контроля доступа к веб-ресурсам;
- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
- запуск веб-браузера от имени пользователя с минимальными возможными привилегиями в операционной системе;
- использование альтернативных веб-браузеров;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
Для Google Chrome:
использование рекомендаций производителя: https://chromereleases.googleblog.com/2022/07/stable-channel-update-for-desktop.html

Для WebKitGTK:
использование рекомендаций производителя: https://webkitgtk.org/security/WSA-2022-0007.html

Для WPE WebKit:
использование рекомендаций производителя: https://webkitgtk.org/security/WSA-2022-0007.html

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-2294

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения chromium до версии 103.0.5060.114+repack-1osnova1
Для Astra Linux Special Edition 1.7 архитектуры x86-64:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения webkit2gtk до версии 2.38.0-1~deb10u1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения