Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-00537: Уязвимость механизма «Downloads» («Загрузки») браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю обойти ограничения безопасности

Описание уязвимости	Уязвимость механизма «Downloads» («Загрузки») браузеров Google Chrome и Microsoft Edge связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности с помощью специально созданной HTML страницы
Вендор	Google Inc., Microsoft Corp., АО "НППКТ"
Наименование ПО	Google Chrome, Microsoft Edge, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	до 109.0.5414.74 (Google Chrome) до 109.0.1518.49 (Microsoft Edge) до 2.7 (ОСОН ОСнова Оnyx)
Тип ПО	Прикладное ПО информационных систем, Операционная система
Операционные системы и аппаратные платформы	Microsoft Corp. Windows - Novell Inc. openSUSE Tumbleweed - Сообщество свободного программного обеспечения Debian GNU/Linux 11 Novell Inc. OpenSUSE Leap 15.4 АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 (запись в едином реестре российских программ №5913)
Тип ошибки	Недостаточная проверка вводимых данных
Идентификатор типа ошибки	CWE-20
Класс уязвимости	Уязвимость кода
Дата выявления	24.09.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Chrome: https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop.html https://crbug.com/1367632 Для Microsoft Edge: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-0139 Для Debian: https://security-tracker.debian.org/tracker/CVE-2023-0139 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-0139.html Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения chromium до версии 109.0.5414.119+repack-1~deb11u1.osnova1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://crbug.com/1367632 https://nvd.nist.gov/vuln/detail/CVE-2023-0139 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-0139 https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop.html https://security-tracker.debian.org/tracker/CVE-2023-0139 https://www.suse.com/security/cve/CVE-2023-0139.html https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-0139
Прочая информация	Данные уточняются

Последние изменения