BDU:2023-04575
Apple Inc., Red Hat Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения iOS, Red Hat Enterprise Linux, MacOS, Astra Linux Special Edition, WebKitGTK, iPadOS, WPE WebKit, Sa
2023-05-08
Уязвимость модулей отображения веб-страниц WebKitGTK и WPE WebKit браузера Safari связана с выходом операции за границы буфера в памяти при обработке веб-контента. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для WebKitGTK и WPE WebKit: https://webkitgtk.org/security/WSA-2023-0005.html
Для программных продуктов Apple Inc.: https://support.apple.com/en-us/HT213670 https://support.apple.com/en-us/HT213671 https://support.apple.com/en-us/HT213676 https://support.apple.com/en-us/HT213811
Для программных продуктов Re Hat Inc.: https://access.redhat.com/security/cve/cve-2023-32435
Компенсирующие меры: т.к данная уязвимость возникает при обработке веб-контента с использованием технологии на основе WebAssembly, рекомендуется установить переменные среды, равные нулю: JavaScriptCoreUseJIT=0 или JSC_useWebAssembly=0, которые отключат поддержку WebAssembly и сделают невозможным компиляцию для высокоуровневых языков.
Для ОС Astra Linux Special Edition 1.7: обновить пакет webkit2gtk до 2.40.5-1~deb11u1+ci202308141639+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux Special Edition 4.7: обновить пакет webkit2gtk до 2.42.2-1~deb11u1+ci202311201532+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47