Уязвимость BDU:2022-06993

Идентификатор: BDU:2022-06993.

Наименование уязвимости: Уязвимость графического процессора браузера Google Chrome, позволяющая нарушителю выйти из изолированной программной среды.

Описание уязвимости: Уязвимость графического процессора браузера Google Chrome связана с переполнением буфера в куче. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выйти из изолированной программной среды
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Прикладное ПО информационных систем Google Inc. Google Chrome до 107.0.5304.121 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.7 |

Наименование ОС и тип аппаратной платформы: Linux — | Astra Linux Special Edition 16 «Смоленск» | Windows — | Mac OS — | РЕД ОС 73 | Astra Linux Special Edition 17 | Astra Linux Special Edition 47 ARM | ОСОН ОСнова Оnyx до 27 |
Дата выявления: 24.11.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам для ограничения возможности эксплуатации уязвимости;
— контролируемый доступ в сеть Интернет;
— регламентация разрешенных сетевых ресурсов и соединений;
— запуск веб-браузера от имени пользователя с минимальными возможными привилегиями в операционной системе;
— использование альтернативных веб-браузеров;
— применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций производителя:
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения chromium до версии 109.0.5414.119+repack-1~deb11u1.osnova1

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-4135.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://crbug.com/1392715
https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv