CVE-2021-30633

Google Chromium Indexed DB API

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Google Chromium Indexed DB API contains a use-after-free vulnerability that allows a remote attacker, who has compromised the renderer process, to potentially perform a sandbox escape via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа «использование после освобождения» (use-after-free) в API IndexedDB браузера Chromium. Атакующий, который уже скомпрометировал процесс рендерера (например, через уязвимость в JavaScript), может создать специальную HTML-страницу. Эта страница, используя данную уязвимость, позволяет выполнить код за пределами песочницы рендерера, что ведет к эскалации привилегий и полному взлому системы.

Как исправить

Обновите браузер на основе Chromium до версии, в которой уязвимость исправлена. Критическая версия: Google Chrome 92.0.4515.107 и выше для большинства платформ. Патч был выпущен 20 июля 2021 года.

  • Для Linux (Debian/Ubuntu): bash sudo apt update sudo apt install --only-upgrade google-chrome-stable Или для Chromium: bash sudo apt update sudo apt install --only-upgrade chromium-browser

  • Для Windows (Chrome): Браузер должен обновиться автоматически. Для принудительной проверки: Настройки → Справка → О браузере Google Chrome. Убедитесь, что версия 92.0.4515.107 или новее. Соответствующий системный патч: KB5004237 (июль 2021) для Edge на базе Chromium.

  • Для macOS: Откройте Google Chrome, в меню выберите Chrome → О Google Chrome. Запустится автоматическое обновление до актуальной версии.

Временное решение

Если немедленное обновление невозможно: 1. Ограничьте доступ к браузерам: В корпоративной среде используйте групповые политики (GPO) или средства управления (например, Jamf, Intune) для временного ограничения запуска уязвимых браузеров (версий ниже 92.0.4515.107) на критически важных рабочих станциях. 2. Настройте WAF/Прокси: Добавьте сигнатуры для блокировки известных эксплойтов, нацеленных на IndexedDB, в вашем межсетевом экране веб-приложений (WAF) или прокси-сервере. 3. Повысьте осведомленность: Предупредите пользователей о запрете перехода по непроверенным ссылкам и открытия подозрительных HTML-вложений в почте. 4. Используйте изоляцию: Рассмотрите возможность запуска браузера в изолированной среде (например, отдельная виртуальная машина, Sandboxie) для задач, связанных с риском.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей