Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-02929: Уязвимость интерфейса автозаполнения Autofill браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости	Уязвимость интерфейса автозаполнения Autofill браузеров Google Chrome и Microsoft Edge связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации с помощью специально созданной HTML-страницы
Вендор	Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, Google Inc., Microsoft Corp., АО "НППКТ"
Наименование ПО	Debian GNU/Linux, openSUSE Tumbleweed, OpenSUSE Leap, Fedora, Google Chrome, Microsoft Edge, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	10 (Debian GNU/Linux) - (openSUSE Tumbleweed) 11 (Debian GNU/Linux) 15.4 NonFree (OpenSUSE Leap) 37 (Fedora) 38 (Fedora) до 113.0.5672.126 (Google Chrome) до 113.0.1774.50 (Stable) (Microsoft Edge) до 112.0.1722.84 (Extended Stable) (Microsoft Edge) до 2.8 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Google Inc. Android - Сообщество свободного программного обеспечения Debian GNU/Linux 10 Novell Inc. openSUSE Tumbleweed - Сообщество свободного программного обеспечения Debian GNU/Linux 11 Novell Inc. OpenSUSE Leap 15.4 NonFree Fedora Project Fedora 37 Fedora Project Fedora 38 АО "НППКТ" ОСОН ОСнова Оnyx до 2.8 (запись в едином реестре российских программ №5913)
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	16.05.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Google Chrome: https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_16.html Для Microsoft Edge: https://msrc.microsoft.com/update-guide/vulnerability/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-2722 https://www.debian.org/security/2023/dsa-5404 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/73XUIHJ6UT75VFPDPLJOXJON7MVIKVZI/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FXFL4TDAH72PRCPD5UPZMJMKIMVOPLTI/ Для продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-2722.html Для ОСОН ОСнова Оnyx: Обновление программного обеспечения chromium до версии 115.0.5790.98+repack-1~deb11u1.osnova1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Данные уточняются
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_16.html https://crbug.com/1442516 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/73XUIHJ6UT75VFPDPLJOXJON7MVIKVZI/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FXFL4TDAH72PRCPD5UPZMJMKIMVOPLTI/ https://security-tracker.debian.org/tracker/CVE-2023-2722 https://www.suse.com/security/cve/CVE-2023-2722.html https://www.debian.org/security/2023/dsa-5404 https://www.droidviews.com/chromes-autofill-for-address-payment-passwords/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-2722
Прочая информация	Данные уточняются

Последние изменения