CVE-2021-37975

Google Chromium V8

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Google Chromium V8 Engine contains a use-after-free vulnerability that allows a remote attacker to potentially exploit heap corruption via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа «использование после освобождения» (use-after-free) в движке JavaScript V8. Злоумышленник может создать специальную HTML-страницу, которая при открытии в браузере приводит к повреждению кучи (heap corruption). Это позволяет выполнить произвольный код на устройстве жертвы, просто заставив её посетить вредоносный сайт.

Как исправить

Обновите браузеры, использующие Chromium, до версий с исправленной уязвимостью.

  • Google Chrome: Версия 94.0.4606.71 и выше. bash # Для Debian/Ubuntu и производных sudo apt update && sudo apt install --only-upgrade google-chrome-stable

    • Для Windows/macOS: обновите через меню Chrome (chrome://help/) или переустановите с официального сайта.

  • Microsoft Edge: Версия 94.0.992.38 и выше.

    • Обновите через меню Параметры и другое (…)Справка и отзывО Microsoft Edge или через Центр обновления Windows.

  • Opera: Версия 80.0.4170.63 и выше.

    • Обновите через меню Меню (O)Обновление и восстановлениеПроверить обновление.

  • Для Linux-дистрибутивов, использующих системные пакеты Chromium: bash # Пример для Debian/Ubuntu sudo apt update && sudo apt install --only-upgrade chromium-browser

    • Убедитесь, что установлена версия пакета не ниже 94.0.4606.71-1.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Ограничение доступа через WAF (Web Application Firewall):

    • Настройте правила для блокировки HTML-страниц с подозрительными или сложными конструкциями JavaScript, которые могут эксплуатировать уязвимости в V8.

  2. Настройка групповой политики (GPO) для Windows:

    • Временно ограничьте запуск уязвимых версий браузеров или настройте политики безопасности для блокировки выполнения скриптов на ненадёжных сайтах.

  3. Повышение осведомлённости:

    • Проинструктируйте пользователей не переходить по ссылкам из непроверенных источников и не посещать подозрительные сайты.

  4. Использование альтернативного браузера:

    • На критически важных системах временно используйте браузер, не основанный на Chromium (например, Firefox), до момента установки патча.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей