CVE-2020-16010

Google Chrome for Android UI

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Google Chrome for Android UI contains a heap buffer overflow vulnerability that allows a remote attacker, who has compromised the renderer process, to potentially perform a sandbox escape via a crafted HTML page.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-16010) — это переполнение буфера в куче (heap buffer overflow) в компоненте UI браузера Google Chrome для Android. Злоумышленник может использовать её следующим образом: * Создать специальную веб-страницу (crafted HTML page). * Запустить её в скомпрометированном процессе рендерера (например, через другую уязвимость). * Использовать переполнение буфера для выполнения произвольного кода уже вне песочницы (sandbox escape), что даст полный контроль над приложением Chrome.

Как исправить

Уязвимость была устранена в стабильном канале обновлений Google Chrome. Необходимо обновить браузер до версии 86.0.4240.185 или новее.

Для Android-устройств: 1. Откройте Google Play Маркет. 2. Нажмите на значок профиля и выберите "Управление приложениями и устройством". 3. В разделе "Доступны обновления" найдите Chrome и нажмите "Обновить". 4. Если Chrome нет в списке, откройте его страницу вручную — кнопка будет меняться на "Обновить".

Для администраторов (управление через консоль): Если устройства управляются через MDM (Mobile Device Management), например, Google Admin Console, Intune или другую EMM/UEM-платформу, необходимо: * Запустить политику принудительного обновления приложений. * Установить минимальную требуемую версию приложения (86.0.4240.185) в политиках соответствия (compliance policies).

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничение доступа:

    • Настройте корпоративный прокси или шлюз безопасности (Secure Web Gateway) на блокировку посещения непроверенных и потенциально опасных веб-сайтов.
    • Используйте DNS-фильтрацию для блокировки доменов, связанных с эксплойтами и фишингом.

  2. Настройка браузера (через политики MDM):

    • Принудительно включите Enhanced Safe Browsing в настройках Chrome через политики.
    • Ограничьте использование браузера для доступа только к доверенным корпоративным ресурсам.

  3. Повышение осведомленности:

    • Оповестите пользователей о необходимости не переходить по ссылкам из непроверенных источников (письма, сообщения).
    • Рекомендуйте использовать альтернативный, обновлённый браузер для критичных задач, если обновление Chrome задерживается.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей