CVE-2021-21220

Google Chromium V8

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Google Chromium V8 Engine contains an improper input validation vulnerability that allows a remote attacker to potentially exploit heap corruption via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-21220) в движке JavaScript V8 в Google Chromium позволяет удаленному злоумышленнику выполнить произвольный код на компьютере пользователя. Это достигается за счет отправки специально созданной веб-страницы, которая эксплуатирует ошибку проверки входных данных в V8, что может привести к повреждению кучи (heap corruption).

  • Вектор атаки: Пользователь посещает вредоносный сайт или переходит по специально созданной ссылке.
  • Результат: Возможность выполнить код на уровне прав пользователя, запустившего браузер.

Как исправить

Решение — обновить все браузеры на базе Chromium до версий, в которых уязвимость исправлена.

Для Google Chrome (Linux, Windows, macOS): * Обновите браузер до версии 90.0.4430.85 или новее. * Автоматическое обновление: Браузер должен обновиться автоматически. Чтобы проверить и запустить обновление вручную: * Откройте chrome://settings/help. * Браузер проверит наличие и установит обновления.

Для Microsoft Edge: * Обновите браузер до версии 90.0.818.46 или новее. * Автоматическое обновление: Обновление происходит через службу Microsoft AutoUpdate. Для проверки: * Откройте edge://settings/help.

Для системных администраторов (управляемые среды): * Windows (Chrome): Разверните стабильный канал обновления (90.0.4430.85) через MSI, используя инструменты управления (например, групповые политики). * Linux (Debian/Ubuntu): Обновите пакет google-chrome-stable из официального репозитория Google. bash sudo apt update sudo apt install --only-upgrade google-chrome-stable * macOS (Chrome): Убедитесь, что на устройствах включен автоматический механизм обновления Google Update.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Настройка WAF/Прокси:

    • Настройте корпоративный Web Application Firewall (WAF) или прокси-сервер для блокировки доступа к известным вредоносным доменам и URL.
    • Включите сигнатуры, направленные на обнаружение и блокировку попыток эксплуатации уязвимостей в движке V8 (если доступны у вашего вендора).

  2. Ограничение прав пользователей:

    • Убедитесь, что все пользователи работают в системе с минимально необходимыми привилегиями. Это не предотвратит эксплуатацию, но ограничит ущерб от выполнения произвольного кода.

  3. Повышение осведомленности:

    • Направьте сотрудникам предупреждение о необходимости не переходить по подозрительным ссылкам и не посещать непроверенные сайты до установки обновлений.

  4. Рассмотрите временное ограничение функционала (агрессивная мера):

    • В корпоративных браузерах через политики можно временно отключить выполнение JavaScript (javascript.enabled: false) для критически важных пользователей. Учтите, что это сломает функциональность большинства современных сайтов.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей