Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-00958: Уязвимость компонента Video браузеров Microsoft Edge и Google Chrome, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость компонента Video браузеров Microsoft Edge и Google Chrome связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем загрузки специально созданной вредоносной HTML-страницы
Вендор	ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Microsoft Corp., Google Inc., АО "НППКТ"
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, openSUSE Tumbleweed, OpenSUSE Leap, SUSE Package Hub, Microsoft Edge, Google Chrome, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 10 (Debian GNU/Linux) - (openSUSE Tumbleweed) 11 (Debian GNU/Linux) 15.4 (OpenSUSE Leap) 4.7 (Astra Linux Special Edition) 15 SP4 (SUSE Package Hub) до 110.0.1587.56 (Microsoft Edge) до 110.0.5481.177 (Google Chrome) до 2.8 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 10 Novell Inc. openSUSE Tumbleweed - Сообщество свободного программного обеспечения Debian GNU/Linux 11 Novell Inc. OpenSUSE Leap 15.4 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО "НППКТ" ОСОН ОСнова Оnyx до 2.8 (запись в едином реестре российских программ №5913)
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	22.02.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Google Chrome: https://chromereleases.googleblog.com/2023/02/stable-channel-desktop-update_22.html Для Microsoft Edge: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-0931 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-0931.html Для Debian: https://security-tracker.debian.org/tracker/CVE-2023-0931 Для Astra Linux 1.6 «Смоленск»: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20230525SE16MD Для Astra Linux Special Edition 4.7 для архитектуры ARM: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения chromium до версии 115.0.5790.98+repack-1~deb11u1.osnova1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://chromereleases.googleblog.com/2023/02/stable-channel-desktop-update_22.html https://nvd.nist.gov/vuln/detail/CVE-2023-0931 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-0931 https://crbug.com/1407701 https://security-tracker.debian.org/tracker/CVE-2023-0931 https://www.suse.com/security/cve/CVE-2023-0931.html https://wiki.astralinux.ru/astra-linux-se16-bulletin-20230525SE16MD https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-0931
Прочая информация	Данные уточняются

Последние изменения