CVE-2021-21166

Google Chromium

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Google Chromium contains a race condition vulnerability that allows a remote attacker to potentially exploit heap corruption via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-21166) — это состояние гонки (race condition) в движке Chromium. Злоумышленник может создать специальную HTML-страницу, которая, будучи открытой в браузере, приводит к повреждению кучи (heap corruption). Это может позволить выполнить произвольный код на устройстве пользователя.

Как это используют: * Злоумышленник размещает вредоносную веб-страницу. * Жертва переходит на эту страницу через уязвимый браузер. * В результате может произойти сбой браузера или выполнение вредоносного кода.

Как исправить

Решение — обновить браузер до версии, в которой уязвимость исправлена.

Конкретные версии патчей: * Google Chrome: версия 88.0.4324.150 и выше. * Microsoft Edge (на базе Chromium): версия 88.0.705.63 и выше. * Opera: версия 74.0.3911.160 и выше.

Команды для обновления (Linux):

  1. Для систем с apt (Debian, Ubuntu): bash sudo apt update sudo apt install --only-upgrade google-chrome-stable Для Microsoft Edge: bash sudo apt update sudo apt install --only-upgrade microsoft-edge-stable

  2. Для систем с yum (RHEL, CentOS, Fedora): bash sudo yum update google-chrome-stable

Для Windows: Обновление происходит через встроенный механизм или Центр обновления Windows. * Google Chrome: Откройте chrome://settings/help → браузер обновится автоматически. * Microsoft Edge: Откройте edge://settings/help → браузер обновится автоматически. * Проверьте установленные обновления системы (KB-статьи, связанные с этими браузерами).

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

  1. Ограничение доступа:

    • Настройте WAF (Web Application Firewall) или прокси-фильтр на блокировку известных вредоносных доменов и URL, которые могут эксплуатировать эту уязвимость.
    • Рассмотрите возможность временного блокирования JavaScript на ненадежных сайтах с помощью групповых политик или расширений браузера (режим "NoScript").

  2. Снижение рисков:

    • Запретите пользователям запуск браузера с правами администратора. Это ограничит потенциальный ущерб от эксплуатации уязвимости.
    • Включите и настройте Защитник Windows (Antimalware Scan Interface) или аналогичный EDR-продукт для детектирования попыток эксплуатации.
    • Информируйте пользователей о запрете перехода по непроверенным ссылкам, особенно из электронной почты.

  3. Альтернативный браузер:

    • В качестве крайней меры на критически важных системах можно временно перейти на браузер, не основанный на Chromium (например, Firefox), предварительно убедившись в его актуальности.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей