CVE-2020-16013

Google Chromium V8

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Google Chromium V8 Engine contains an inappropriate implementation vulnerability that allows a remote attacker to potentially exploit heap corruption via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-16013) — это ошибка в механизме оптимизации (JIT-компилятор) движка JavaScript V8 в Chromium. Злоумышленник может создать специальную веб-страницу, которая при обработке в браузере приводит к ошибкам в управлении памятью (heap corruption). Это может позволить выполнить произвольный код на компьютере пользователя, просто заставив его открыть вредоносную страницу.

Как исправить

Уязвимость устранена в обновленных версиях браузеров на базе Chromium. Необходимо обновить браузер до версии, где установлен патч.

  • Для Google Chrome (Linux, Windows, macOS):

    • Обновите браузер до версии 87.0.4280.66 или новее.
    • В Linux (Debian/Ubuntu) используйте apt: bash sudo apt update && sudo apt install --only-upgrade google-chrome-stable
    • В Windows и macOS обновление происходит автоматически через встроенный механизм. Для принудительной проверки: Настройки → Справка → О браузере Google Chrome.

  • Для Microsoft Edge (на базе Chromium):

    • Обновите браузер до версии 87.0.664.47 или новее.
    • Проверка обновления: Настройки → О Microsoft Edge.

  • Для операционных систем:

    • Windows 10: Установите накопительное обновление безопасности, содержащее исправленный браузер Edge (например, KB4592438 для версии 20H2). Актуальный номер KB уточняйте по дате выпуска патча (ноябрь-декабрь 2020).
    • Linux (дистрибутивы): Обновите пакет chromium-browser из официальных репозиториев. bash sudo apt update && sudo apt upgrade chromium-browser

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничение доступа к браузеру:

    • В корпоративной среде используйте групповые политики (GPO) или средства управления для временного ограничения запуска уязвимых браузеров (Chrome, Edge < исправленных версий) на критически важных рабочих станциях.

  2. Настройка веб-фильтрации и WAF:

    • Активируйте правила в корпоративном WAF (Web Application Firewall) или прокси-сервере для блокировки HTML-страниц с подозрительным или сложным JavaScript-кодом, который может пытаться использовать эту уязвимость.
    • Используйте фильтрацию контента для блокировки доступа к известным вредоносным доменам.

  3. Повышение уровня безопасности браузера:

    • Включите строгие настройки в политиках браузера:
      • Активируйте Enhanced Protection (Повышенная защита) в Chrome/Edge.
      • Включите изоляцию сайтов (Site Isolation).
      • Заблокируйте выполнение JavaScript для ненадежных сайтов с помощью расширений типа NoScript (в режиме полного запрета).

Важно: Эти меры носят временный характер и не заменяют установку официального патча. Обновление браузера — единственное полное решение.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей