CVE-2021-21224

Google Chromium V8

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Google Chromium V8 Engine contains a type confusion vulnerability that allows a remote attacker to execute code inside a sandbox via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа "путаница типов" (type confusion) в движке JavaScript V8. Злоумышленник может создать специальную HTML-страницу, которая, будучи открытой в браузере, использует эту ошибку для выполнения произвольного кода в пределах песочницы (sandbox) браузера. Это может привести к компрометации системы пользователя.

Как исправить

Уязвимость исправлена в обновленных версиях браузеров на базе Chromium. Необходимо обновить браузер до версии, содержащей патч.

  • Для Google Chrome (Linux, Windows, macOS):

    • Обновите браузер до версии 90.0.4430.85 или новее.
    • В Linux (Debian/Ubuntu) используйте стандартный менеджер пакетов: bash sudo apt update && sudo apt upgrade google-chrome-stable
    • В Windows и macOS обновление происходит автоматически через встроенный механизм. Для принудительной проверки: Настройки → Справка → О браузере Google Chrome.

  • Для Microsoft Edge (на базе Chromium):

    • Обновите браузер до версии 90.0.818.46 или новее.
    • Проверьте обновления: Настройки → О Microsoft Edge.

  • Для операционных систем:

    • Windows: Убедитесь, что установлены последние накопительные обновления. Специфический KB для этой уязвимости не выпускался, так как исправление поставляется через обновление самого браузера.
    • Linux (дистрибутивы, использующие пакет chromium): Обновите пакет chromium до версии 90.0.4430.85 или новее из репозиториев вашего дистрибутива. bash # Для Debian/Ubuntu sudo apt update && sudo apt upgrade chromium # Для Fedora/RHEL sudo dnf update chromium

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Использование WAF (Web Application Firewall):

    • Настройте правила для блокировки известных эксплойтов, нацеленных на уязвимости в движке V8. Ищите и блокируйте шаблоны, связанные с CVE-2021-21224.
    • Пример общего правила (ModSecurity/CRS): SecRule REQUEST_URI|REQUEST_BODY "@rx (?:CVE-2021-21224|v8.*type.*confusion)" \ "id:1001,phase:2,deny,status:403,msg:'Potential CVE-2021-21224 Exploit Attempt'"

  2. Ограничение доступа к браузерам:

    • В корпоративной среде через групповые политики (GPO) или системы управления можно временно ограничить доступ к непроверенным веб-ресурсам.

  3. Повышение уровня безопасности песочницы:

    • Убедитесь, что на всех конечных точках включен режим усиленной безопасности (Enhanced Security Mode) в браузерах, если он доступен, и активированы все функции песочницы (sandbox). Это не устраняет уязвимость, но усложняет её эксплуатацию.

Важно: Временные решения лишь снижают вероятность атаки. Полное устранение риска обеспечивает только установка официального патча от вендора.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей