BDU:2023-02930: Уязвимость режима Guest View браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости

Уязвимость режима Guest View браузеров Google Chrome и Microsoft Edge связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации с помощью специально созданной вредоносной HTML-страницы

Вендор

ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, Google Inc., Microsoft Corp., АО "НППКТ"

Наименование ПО

Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, openSUSE Tumbleweed, OpenSUSE Leap, Fedora, Google Chrome, Microsoft Edge, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 10 (Debian GNU/Linux)
  • - (openSUSE Tumbleweed)
  • 11 (Debian GNU/Linux)
  • 1.7 (Astra Linux Special Edition)
  • 15.4 NonFree (OpenSUSE Leap)
  • 37 (Fedora)
  • 4.7 (Astra Linux Special Edition)
  • 38 (Fedora)
  • до 113.0.5672.126 (Google Chrome)
  • до 113.0.1774.50 (Stable) (Microsoft Edge)
  • до 112.0.1722.84 (Extended Stable) (Microsoft Edge)
  • до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Тип ошибки

Использование после освобождения

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

04.05.2023

Базовый вектор уязвимости

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Google Chrome:
https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_16.html

Для Microsoft Edge:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-2725

Для Debian GNU/Linux:
https://www.debian.org/security/2023/dsa-5404

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/73XUIHJ6UT75VFPDPLJOXJON7MVIKVZI/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FXFL4TDAH72PRCPD5UPZMJMKIMVOPLTI/

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-2725.html

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения chromium до версии 115.0.5790.98+repack-1~deb11u1.osnova1

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для Astra Linux 1.6 «Смоленск»:
обновить пакет chromium до 1:119.0.6045.199-0astragost0+ci202311302128+astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения