BDU:2022-04198

Опубликовано: 04 июл. 2022

Источник: fstec

CVSS3: 10

CVSS2: 10

EPSS Низкий

Описание

Уязвимость реализации технологии WebRTC браузера Google Chrome связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

ООО «РусБИТех-Астра»

Сообщество свободного программного обеспечения

Google Inc

АО "НППКТ"

АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition

Debian GNU/Linux

Google Chrome

WebKitGTK

WPE WebKit

ОСОН ОСнова Оnyx

ОС ОН «Стрелец»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)

10 (Debian GNU/Linux)

11 (Debian GNU/Linux)

1.7 (Astra Linux Special Edition)

до 102.0.5005.148 (Google Chrome)

до 103.0.5060.114 (Google Chrome)

до 2.36.5 (WebKitGTK)

до 2.36.5 (WPE WebKit)

4.7 (Astra Linux Special Edition)

до 2.5.1 (ОСОН ОСнова Оnyx)

до 2.6 (ОСОН ОСнова Оnyx)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Microsoft Corp Windows -

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Apple Inc. MacOS -

Сообщество свободного программного обеспечения Debian GNU/Linux 11

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- использование средств защиты информации с функцией контроля доступа к веб-ресурсам;

- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;

- запуск веб-браузера от имени пользователя с минимальными возможными привилегиями в операционной системе;

- использование альтернативных веб-браузеров;

- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:

Для Google Chrome:

использование рекомендаций производителя: https://chromereleases.googleblog.com/2022/07/stable-channel-update-for-desktop.html

Для WebKitGTK:

использование рекомендаций производителя: https://webkitgtk.org/security/WSA-2022-0007.html

Для WPE WebKit:

использование рекомендаций производителя: https://webkitgtk.org/security/WSA-2022-0007.html

Для Debian:

использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-2294

Для ОС Astra Linux:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:

Обновление программного обеспечения chromium до версии 103.0.5060.114+repack-1osnova1

Для Astra Linux Special Edition 1.7 архитектуры x86-64:

https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения webkit2gtk до версии 2.38.0-1~deb10u1

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для ОС ОН «Стрелец»:

Обновление программного обеспечения chromium до версии 105.0.5195.125+repack2-1~deb11u1.osnova1.strelets

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-2294
CVE

EPSS

Процентиль: 78%

0.01165

Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2022-2294

CVSS3: 8.8

ubuntu

больше 3 лет назад

Heap buffer overflow in WebRTC in Google Chrome prior to 103.0.5060.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.

CVE-2022-2294

CVSS3: 8.8

nvd

больше 3 лет назад

Heap buffer overflow in WebRTC in Google Chrome prior to 103.0.5060.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.

CVE-2022-2294

msrc

больше 3 лет назад

Chromium: CVE-2022-2294 Heap buffer overflow in WebRTC

CVE-2022-2294

CVSS3: 8.8

debian

больше 3 лет назад

Heap buffer overflow in WebRTC in Google Chrome prior to 103.0.5060.11 ...

GHSA-9q96-cwq7-cr4m

CVSS3: 8.8

github

больше 3 лет назад

Heap buffer overflow in WebRTC in Google Chrome prior to 103.0.5060.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.

EPSS

Процентиль: 78%

0.01165

Низкий

10 Critical

CVSS3

10 Critical

CVSS2