BDU:2023-04853: Уязвимость интерфейса Fullscreen API браузера Google Chrome для Android, позволяющая нарушителю подделать содержимое омнибокса

Описание уязвимости Уязвимость интерфейса Fullscreen API браузера Google Chrome для Android связана с неправильно реализованной проверкой безопасности для стандартных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, подделать содержимое омнибокса с помощью специально созданной HTML-страницы
Вендор Google Inc., Сообщество свободного программного обеспечения, Fedora Project
Наименование ПО Android, Debian GNU/Linux, Fedora, Google Chrome
Версия ПО
  • - (Android)
  • 11 (Debian GNU/Linux)
  • 12 (Debian GNU/Linux)
  • 38 (Fedora)
  • до 116.0.5845.96 (Google Chrome)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Google Inc. Android -
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11
  • Сообщество свободного программного обеспечения Debian GNU/Linux 12
  • Fedora Project Fedora 38
Тип ошибки Неправильно реализованная проверка безопасности для стандартных элементов
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 15.08.2023
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам;
- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
- запуск веб-браузера от имени пользователя с минимальными возможными привилегиями в операционной системе;
- использование альтернативных веб-браузеров;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:

Для программных продуктов Google Inc.:
https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop_15.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OCFEK63FUHFXZH5MSG6TNQOXMQWM4M5S/

Для Debian GNU/Linux:
https://www.debian.org/security/2023/dsa-5479
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Злоупотребление функционалом
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения