CVE-2021-30551

Google Chromium V8

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Google Chromium V8 Engine contains a type confusion vulnerability that allows a remote attacker to potentially exploit heap corruption via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа "путаница типов" (type confusion) в движке JavaScript V8. Злоумышленник может создать специальную веб-страницу (HTML/JS), которая, будучи открытой в уязвимом браузере, вызовет ошибку в обработке типов данных в памяти. Это может привести к повреждению кучи (heap corruption) и потенциально — к выполнению произвольного кода на компьютере жертвы.

Как исправить

Уязвимость устранена в обновлениях браузеров на базе Chromium. Необходимо обновить браузер до версии, содержащей патч.

  • Google Chrome: Обновитесь до версии 91.0.4472.101 или новее. ```bash # Для Linux (Debian/Ubuntu) sudo apt update && sudo apt install --only-upgrade google-chrome-stable

    Проверьте версию после обновления

    google-chrome --version ```

  • Microsoft Edge: Обновитесь до версии 91.0.864.41 или новее. Обновление происходит через систему Windows Update или встроенный механизм Edge (edge://settings/help).

  • Opera: Обновитесь до версии 77.0.4054.90 или новее через меню "О браузере Opera" (opera://about/).

  • Другие браузеры на Chromium (Brave, Vivaldi и т.д.): Обновитесь до последней стабильной версии через встроенный механизм обновлений.

Для системных администраторов: * Windows (через WSUS/GPO): Утвердите и разверните обновление для Microsoft Edge (Chromium) или Google Chrome. * Linux (централизованное управление): Используйте ваш менеджер пакетов (apt, yum) для принудительного обновления пакета google-chrome-stable на всех рабочих станциях. * macOS: Убедитесь, что обновление через App Store или встроенный механизм браузера применено.

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

  1. Настройка WAF/Прокси: Настройте корпоративный веб-прокси или WAF (например, ModSecurity) на блокировку HTML-страниц с подозрительным или сложным JavaScript-кодом, который может эксплуатировать уязвимости в движке V8. Используйте актуальные сигнатуры.
  2. Ограничение прав: Запускайте браузеры в песочнице или с пониженными привилегиями (например, не от имени администратора), чтобы минимизировать потенциальный ущерб от эксплуатации.
  3. Политики браузера: Включите строгие политики безопасности в браузере (например, через групповые политики Chrome/Edge):
    • Активируйте Enhanced Protection в настройках безопасности.
    • Рассмотрите возможность временного отключения выполнения JavaScript для ненадежных сайтов с помощью расширений типа NoScript (нештатный сценарий для корпоративной среды).
  4. Повышение осведомленности: Предупредите пользователей об опасности перехода по непроверенным ссылкам и открытия вложений из ненадежных источников.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей