CVE-2020-6572

Google Chrome Media

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-01-10

Официальное описание

Google Chrome Media contains a use-after-free vulnerability that allows a remote attacker to execute code via a crafted HTML page.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа "использование после освобождения" (use-after-free) в компоненте Media браузера Google Chrome. Удаленный злоумышленник может создать специальную HTML-страницу, которая при открытии в уязвимой версии браузера приводит к повреждению памяти. Это позволяет выполнить произвольный код на устройстве пользователя без его ведома, просто посетив вредоносный сайт.

Как исправить

Необходимо обновить Google Chrome до версии, в которой уязвимость исправлена.

  • Для Windows/macOS/Linux (через браузер): Откройте браузер, перейдите в меню СправкаО браузере Google Chrome. Браузер автоматически проверит и установит обновление. Перезапустите браузер. Убедитесь, что версия не ниже 84.0.4147.105.

  • Для Linux (через терминал, пример для Debian/Ubuntu): bash sudo apt update sudo apt install --only-upgrade google-chrome-stable После обновления проверьте версию: bash google-chrome --version Версия должна быть 84.0.4147.105 или выше.

  • Для Windows (через командную строку, если обновление не сработало): Скачайте последний установщик с официального сайта или принудительно запустите службу обновления: bash "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /ua /installsource scheduler Официальный патч содержится в сборках, начиная с версии 84.0.4147.105.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничение доступа к браузеру:

    • Включите режим усиленной защиты в Chrome (НастройкиКонфиденциальность и безопасностьБезопасность).
    • Рассмотрите возможность временного использования другого, обновленного браузера для критически важных задач.

  2. Настройка WAF/Прокси:

    • Настройте корпоративный Web Application Firewall (WAF) или прокси-сервер на блокировку HTML-страниц с подозрительными или сложными медиа-элементами (например, с использованием тегов <video> или <audio> с нестандартными атрибутами).

  3. Ограничение прав пользователей:

    • Убедитесь, что все пользователи работают под учетными записями с ограниченными правами (без прав администратора). Это не предотвратит эксплуатацию, но серьезно ограничит потенциальный ущерб от выполнения произвольного кода.

  4. Повышение осведомленности:

    • Предупредите пользователей о необходимости не переходить по ссылкам из непроверенных источников (письма, мессенджеры) и закрывать подозрительные вкладки.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей