Банк данных угроз безопасности информации
Федеральная служба по техническому и экспортному контролю
ФСТЭК России
Государственный научно-исследовательский испытательный институт проблем технической защиты информации
ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
Toggle navigation
Угрозы
Перечень угроз
Новый раздел угроз
Уязвимости
Список уязвимостей
Типовые уязвимости веб-приложений
Наиболее опасные уязвимости
Инфографика
Калькулятор CVSS V2
Калькулятор CVSS V3
Калькулятор CVSS V3.1
ScanOVAL
ScanOVAL для Linux
Тестирование обновлений
Документы
Термины
Регламент включения уязвимостей
Все документы
Обратная связь
Написать администратору
Электронная почта
Сообщить об уязвимости
Сообщить об угрозе
Обновления
Новости сайта
Список каналов (RSS, Atom)
Telegram
Участники
Организации
Исследователи
Рейтинг исследователей
Обучение
БДУ АСУ ТП
ФСТЭК России
Главная
Список уязвимостей
BDU:2024-02709
BDU:2024-02709: Уязвимость пользовательского интерфейса браузера Google Chrome, позволяющая нарушителю выполнить подмену пользовательского интерфейса
Вид
Список
Плитка
Для печати
Основная информация
Подробнее
Описание уязвимости
Уязвимость пользовательского интерфейса браузера Google Chrome связана с некорректным ограничением визуализированных слоев пользовательского интерфейса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить подмену пользовательского интерфейса с помощью специально созданной HTML-страницы
Вендор
Сообщество свободного программного обеспечения, ООО «Ред Софт», Fedora Project, Google Inc., АО "НППКТ"
Наименование ПО
Debian GNU/Linux, РЕД ОС (
запись в едином реестре российских программ №3751
), Fedora, Google Chrome, ОСОН ОСнова Оnyx (
запись в едином реестре российских программ №5913
)
Версия ПО
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
38 (Fedora)
39 (Fedora)
40 (Fedora)
до 123.0.6312.58 (Google Chrome)
до 2.10.1 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Apple Inc. iOS .
Сообщество свободного программного обеспечения Linux -
Microsoft Corp. Windows -
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Apple Inc. Mac OS -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3 (
запись в едином реестре российских программ №3751
)
Fedora Project Fedora 38
Fedora Project Fedora 39
Fedora Project Fedora 40
АО "НППКТ" ОСОН ОСнова Оnyx до 2.10.1 (
запись в едином реестре российских программ №5913
)
Тип ошибки
Некорректное ограничение визуализируемых слоев пользовательского интерфейса
Идентификатор типа ошибки
CWE-1021
Класс уязвимости
Уязвимость кода
Дата выявления
19.03.2024
Базовый вектор уязвимости
CVSS 2.0:
AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS 3.0:
AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Google Chrome:
https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_19.html
https://issues.chromium.org/issues/41481877
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AQVVW4FLQDIJ2UABGXK2SMS5AUGT54FM/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2D3Z6CRRN4J3IUZPJZVURGMRBN6WFPTU/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6JINDYFB3MPH43ECTI72BV63K4RXSG22/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-2629
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения chromium до версии 123.0.6312.122+repack-1~deb12u1.osnova1
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Способ эксплуатации
Злоупотребление функционалом
Способ устранения
Обновление программного обеспечения
Информация об устранении
Уязвимость устранена
Ссылки на источники
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-2629
https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_19.html
https://issues.chromium.org/issues/41481877
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AQVVW4FLQDIJ2UABGXK2SMS5AUGT54FM/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2D3Z6CRRN4J3IUZPJZVURGMRBN6WFPTU/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6JINDYFB3MPH43ECTI72BV63K4RXSG22/
https://ubuntu.com/security/CVE-2024-2631
https://packages.altlinux.org/ru/vuln/CVE-2024-2631
https://www.rapid7.com/db/vulnerabilities/microsoft-edge-cve-2024-2631/
https://security-tracker.debian.org/tracker/CVE-2024-2631
https://vuldb.com/?id.257434
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.10.1/
Идентификаторы других систем описаний уязвимостей
CVE:
CVE-2024-2629
Прочая информация
Данные уточняются
Последние изменения
18.09.2024
Уязвимость панели управления хостингом Webmin, связанная с некорректными разрешениями и привилегиями, позволяющая нарушителю обойти существующие ограничения безопасности
18.09.2024
Уязвимость компонента Device Handler кроссплатформенного гипервизора Xen ядра операционной системы Linux, позволяющая нарушителю повысить привилегии
18.09.2024
Уязвимость компонента x86 HVM Hypercall Handler кроссплатформенного гипервизора Xen ядра операционной системы Linux, позволяющая нарушителю получить вызвать отказ в обслуживании
18.09.2024
Уязвимость компонента _nc_wrap_entry() библиотеки для управления вводом-выводом на терминал ncurses, позволяющая нарушителю вызвать отказ в обслуживании
18.09.2024
Уязвимость инструмента удаленного управления Admin Center операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
18.09.2024
Уязвимость драйвера OLE DB для SQL Server операционных систем Windows, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю раскрыть защищаемую информацию
18.09.2024
Уязвимость сетевого средства Ivanti Cloud Services Appliance, существующая из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнить произвольный код
18.09.2024
Уязвимость пакета программ Microsoft SharePoint Server, связанная с десериализацией ненадежных данных, позволяющая нарушителю вызвать отказ в обслуживании
18.09.2024
Уязвимость программного средства управления конечными точками Ivanti EPM, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный код
18.09.2024
Уязвимость программного средства управления конечными точками Ivanti EPM, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный код