BDU:2022-03826: Уязвимость набора инструментов DevTools браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю оказать воздействие на целостность данных

Описание уязвимости Уязвимость набора инструментов DevTools браузеров Google Chrome и Microsoft Edge вызвана переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на целостность данных
Вендор ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Google Inc., Microsoft Corp.
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Google Chrome, Microsoft Edge
Версия ПО 1.6 «Смоленск» (Astra Linux Special Edition), 10.0 (Debian GNU/Linux), 11.0 (Debian GNU/Linux), до 102.0.5005.61 (Google Chrome), до 102.0.1245.30 (Microsoft Edge)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» Не указана (запись в едином реестре российских программ №369)
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 Не указана
Тип ошибки Переполнение буфера в куче
Идентификатор типа ошибки CWE-122
Класс уязвимости Уязвимость кода
Дата выявления 24.05.2022
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:H/Au:N/C:N/I:P/A:N
  • CVSS 3.0: AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N
Уровень опасности уязвимости Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,1)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам;
- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
- запуск веб-браузера от имени пользователя с минимальными возможными привилегиями в операционной системе;
- использование альтернативных веб-браузеров;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций для Google Chrome:
https://chromereleases.googleblog.com/2022/05/stable-channel-update-for-desktop_24.html

Использование рекомендаций для Microsoft Edge:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-1876

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-1876

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются