Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01381

Опубликовано: 07 сент. 2021
Источник: fstec
CVSS3: 8.6
CVSS2: 7.8
EPSS Средний

Описание

Уязвимость реализации метода Window.showSaveFilePicker() компонента File System Access API браузера Google Chrome связана с возможностью получения доступа к переменным среды пользователя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Google Inc

Наименование ПО

Google Chrome

Версия ПО

до 97.0.4692.71 (Google Chrome)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам;
- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
- запуск веб-браузера от имени пользователя с минимальными возможными привилегиями в операционной системе;
- использование альтернативных веб-браузеров;
- применение систем обнаружения и предотвращения вторжений.
Информация от разработчика:
https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.11727
Средний

8.6 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-0337

CVSS3: 6.5
ubuntu
около 3 лет назад

Inappropriate implementation in File System API in Google Chrome on Windows prior to 97.0.4692.71 allowed a remote attacker to obtain potentially sensitive information via a crafted HTML page. (Chrome security severity: High)

nvd логотип

CVE-2022-0337

CVSS3: 6.5
nvd
около 3 лет назад

Inappropriate implementation in File System API in Google Chrome on Windows prior to 97.0.4692.71 allowed a remote attacker to obtain potentially sensitive information via a crafted HTML page. (Chrome security severity: High)

debian логотип

CVE-2022-0337

CVSS3: 6.5
debian
около 3 лет назад

Inappropriate implementation in File System API in Google Chrome on Wi ...

github логотип

GHSA-crcf-r254-j6xv

CVSS3: 6.5
github
около 3 лет назад

Inappropriate implementation in File System API in Google Chrome on Windows prior to 97.0.4692.71 allowed a remote attacker to obtain potentially sensitive information via a crafted HTML page. (Chrome security severity: High)

EPSS

Процентиль: 94%
0.11727
Средний

8.6 High

CVSS3

7.8 High

CVSS2