CVE-2021-37976

Суть уязвимости

Уязвимость (Use-after-free) в компоненте памяти Portals в движке V8. Удаленный злоумышленник может создать специальную HTML-страницу, которая при посещении жертвой приводит к раскрытию содержимого памяти процесса браузера. Это может позволить получить конфиденциальную информацию (например, куки, токены сессий, данные форм).

Как исправить

Необходимо обновить браузер до версии, в которой уязвимость исправлена.

• Google Chrome: Версия 94.0.4606.71 или выше. bash # Для Debian/Ubuntu и производных sudo apt update && sudo apt install --only-upgrade google-chrome-stable

  • Для Windows/macOS: Загрузите установщик с официального сайта или используйте встроенный механизм обновления (chrome://help/).

• Microsoft Edge (на базе Chromium): Версия 94.0.992.31 или выше.

  • Обновите через edge://settings/help или используйте системный менеджер пакетов.

• Opera: Версия 80.0.4170.16 или выше.

  • Обновите через Меню → Обновление и восстановление → Проверить обновление.

• Другие браузеры на Chromium (Brave, Vivaldi и т.д.): Обновитесь до последней стабильной версии через встроенный механизм обновления или менеджер пакетов ОС.

Временное решение

Если немедленное обновление невозможно: 1. Ограничение доступа через WAF: Настройте правила Web Application Firewall для блокировки HTML-контента, содержащего подозрительные конструкции с использованием API Portals. 2. Отключение JavaScript (крайняя мера): Полное отключение JavaScript в браузере лишит эксплоит возможности выполнения. Это нарушит функциональность большинства сайтов. * В Chrome: Настройки → Конфиденциальность и безопасность → Настройки сайта → JavaScript → Запретить. 3. Повышение осведомленности: Предупредите пользователей не переходить по непроверенным ссылкам и не посещать подозрительные сайты до момента обновления.