Идентификатор: BDU:2022-03831.
Наименование уязвимости: Уязвимость интерфейса API расширений браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании.
Описание уязвимости: Уязвимость интерфейса API расширений браузеров Google Chrome и Microsoft Edge связана с неправильно реализованной проверкой безопасности для стандартных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию или вызвать отказ в обслуживании с помощью специально созданной веб-страницы
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Прикладное ПО информационных систем Google Inc. Google Chrome до 102.0.5005.61 | Прикладное ПО информационных систем Microsoft Corp. Microsoft Edge до 102.0.1245.30 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система АО “НППКТ” ОСОН ОСнова Оnyx до 2.5 |
Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 16 «Смоленск» | Astra Linux Special Edition 17 | Astra Linux Special Edition 47 ARM |
Дата выявления: 24.05.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
– использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам;
– контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
– запуск веб-браузера от имени пользователя с минимальными возможными привилегиями в операционной системе;
– использование альтернативных веб-браузеров;
– применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций для Google Chrome:
https://chromereleases.googleblog.com/2022/05/stable-channel-update-for-desktop_24.html
Использование рекомендаций для Microsoft Edge:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-1868
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для ОСОН Основа:
Обновление программного обеспечения chromium до версии 102.0.5005.115+repack-1osnova1
Для Astra Linux Special Edition 1.7 архитектуры x86-64:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-1868.
Тип ошибки CWE: CWE-358
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://chromereleases.googleblog.com/2022/05/stable-channel-update-for-desktop_24.html
https://www.cybersecurity-help.cz/vdb/SB2022052421
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-1868
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
