Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-02930: Уязвимость режима Guest View браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Основная информация
Подробнее

Описание уязвимости

Уязвимость режима Guest View браузеров Google Chrome и Microsoft Edge связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации с помощью специально созданной вредоносной HTML-страницы

Вендор

Сообщество свободного программного обеспечения, Novell Inc., ООО «РусБИТех-Астра», Fedora Project, Google Inc., Microsoft Corp., АО "НППКТ"

Наименование ПО

Debian GNU/Linux, openSUSE Tumbleweed, Astra Linux Special Edition (запись в едином реестре российских программ №369), OpenSUSE Leap, Fedora, Google Chrome, Microsoft Edge, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

10 (Debian GNU/Linux)
- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
15.4 NonFree (OpenSUSE Leap)
37 (Fedora)
4.7 (Astra Linux Special Edition)
38 (Fedora)
до 113.0.5672.126 (Google Chrome)
до 113.0.1774.50 (Stable) (Microsoft Edge)
до 112.0.1722.84 (Extended Stable) (Microsoft Edge)
до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369)
Novell Inc. OpenSUSE Leap 15.4 NonFree
Fedora Project Fedora 37
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)
Fedora Project Fedora 38
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8 (запись в едином реестре российских программ №5913)

Тип ошибки

Использование после освобождения

Идентификатор типа ошибки

CWE-416

Класс уязвимости

Уязвимость кода

Дата выявления

04.05.2023

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Google Chrome:
https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_16.html

Для Microsoft Edge:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-2725

Для Debian GNU/Linux:
https://www.debian.org/security/2023/dsa-5404

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/73XUIHJ6UT75VFPDPLJOXJON7MVIKVZI/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FXFL4TDAH72PRCPD5UPZMJMKIMVOPLTI/

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-2725.html

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения chromium до версии 115.0.5790.98+repack-1~deb11u1.osnova1

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_16.html
https://crbug.com/1442516
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/73XUIHJ6UT75VFPDPLJOXJON7MVIKVZI/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FXFL4TDAH72PRCPD5UPZMJMKIMVOPLTI/
https://www.debian.org/security/2023/dsa-5404
https://security-tracker.debian.org/tracker/CVE-2023-2725
https://www.suse.com/security/cve/CVE-2023-2725.html
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2023-2725

Прочая информация

Данные уточняются

Последние изменения