BDU:2024-02709: Уязвимость пользовательского интерфейса браузера Google Chrome, позволяющая нарушителю выполнить подмену пользовательского интерфейса

Описание уязвимости Уязвимость пользовательского интерфейса браузера Google Chrome связана с некорректным ограничением визуализированных слоев пользовательского интерфейса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить подмену пользовательского интерфейса с помощью специально созданной HTML-страницы
Вендор Сообщество свободного программного обеспечения, ООО «Ред Софт», Fedora Project, Google Inc., АО "НППКТ"
Наименование ПО Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Fedora, Google Chrome, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО 10 (Debian GNU/Linux), 11 (Debian GNU/Linux), 12 (Debian GNU/Linux), 7.3 (РЕД ОС), 38 (Fedora), 39 (Fedora), 40 (Fedora), до 123.0.6312.58 (Google Chrome), до 2.10.1 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Apple Inc. iOS . Не указана
  • Сообщество свободного программного обеспечения Linux - Не указана
  • Microsoft Corp. Windows - Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10 Не указана
  • Apple Inc. Mac OS - Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 12 Не указана
  • ООО «Ред Софт» РЕД ОС 7.3 Не указана (запись в едином реестре российских программ №3751)
  • Fedora Project Fedora 38 Не указана
  • Fedora Project Fedora 39 Не указана
  • Fedora Project Fedora 40 Не указана
  • АО "НППКТ" ОСОН ОСнова Оnyx до 2.10.1 Не указана (запись в едином реестре российских программ №5913)
Тип ошибки Некорректное ограничение визуализируемых слоев пользовательского интерфейса
Идентификатор типа ошибки CWE-1021
Класс уязвимости Уязвимость кода
Дата выявления 19.03.2024
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:P/A:N
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Google Chrome:
https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_19.html
https://issues.chromium.org/issues/41481877

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AQVVW4FLQDIJ2UABGXK2SMS5AUGT54FM/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2D3Z6CRRN4J3IUZPJZVURGMRBN6WFPTU/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6JINDYFB3MPH43ECTI72BV63K4RXSG22/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-2629

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения chromium до версии 123.0.6312.122+repack-1~deb12u1.osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Злоупотребление функционалом
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются