CVE-2019-13720

Google Chrome WebAudio

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-05-23

Официальное описание

Google Chrome WebAudio contains a use-after-free vulnerability that allows a remote attacker to potentially exploit heap corruption via a crafted HTML page.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа "Use-After-Free" в компоненте WebAudio браузера Google Chrome. Злоумышленник может создать специальную HTML-страницу, которая, будучи открытой в уязвимой версии браузера, приводит к освобождению области памяти, а затем её повторному использованию. Это может вызвать повреждение кучи (heap corruption) и потенциально позволить выполнить произвольный код на устройстве жертвы.

Как исправить

Уязвимость исправлена в стабильных релизах Google Chrome. Необходимо обновить браузер до версии 78.0.3904.87 или новее.

  • Для Windows/macOS/Linux (через встроенный механизм обновлений):

    1. Откройте Google Chrome.
    2. Нажмите на три точки в правом верхнем углу → СправкаО браузере Google Chrome.
    3. Браузер автоматически начнет проверку и установку обновлений. Перезапустите браузер после установки.

  • Для Linux (обновление через менеджер пакетов): Обновите пакет google-chrome-stable из официальных репозиториев Google или вашего дистрибутива. bash # Для систем на базе Debian/Ubuntu sudo apt update sudo apt install --only-upgrade google-chrome-stable bash # Для систем на базе RHEL/Fedora/CentOS с настроенным репозиторием Google sudo yum update google-chrome-stable

  • Для Windows (через централизованное управление): Убедитесь, что обновление Google Chrome 78.0.3904.87 развернуто через WSUS, SCCM или систему управления конечными точками. Соответствующий установщик можно загрузить с официального сайта.

Временное решение

Если немедленное обновление невозможно, примените следующие ограничивающие меры:

  1. Настройка групповой политики (GPO) / политик браузера:

    • Используйте шаблоны администрирования Chrome для временного отключения компонента WebAudio. Создайте или измените политику:
      • Путь политики: Административные шаблоны / Google / Google Chrome / Настройки содержимого
      • Политика: Блокировать использование веб-аудио API
      • Значение: Включено
    • Это нарушит работу сайтов, использующих аудио, но заблокирует вектор атаки.

  2. Использование WAF (Web Application Firewall):

    • Настройте правила в корпоративном WAF для блокировки или проверки подозрительного HTML-контента, который может эксплуатировать эту уязвимость. Сосредоточьтесь на обнаружении сложных скриптов, манипулирующих аудиоэлементами.

  3. Повышение осведомленности:

    • Оповестите пользователей о запрете на посещение непроверенных или подозрительных веб-сайтов до момента установки обновления.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей