CVE-2021-4102

Google Chromium V8

ВЕРОЯТНОСТЬ 4.4%
Дата обнаружения

2021-12-15

Официальное описание

Google Chromium V8 Engine contains a use-after-free vulnerability that allows a remote attacker to potentially exploit heap corruption via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа «использование после освобождения» (Use-After-Free) в движке JavaScript V8. Злоумышленник может создать специальную HTML-страницу, которая, будучи открытой в браузере, приводит к повреждению кучи (heap corruption). Это может позволить выполнить произвольный код в контексте браузера жертвы.

Как исправить

Уязвимость устранена в обновленных версиях браузеров на базе Chromium. Необходимо обновить браузер до версии, содержащей исправление.

  • Google Chrome: Обновите до версии 96.0.4664.110 или новее. bash # Для Linux (Debian/Ubuntu) sudo apt update && sudo apt install --only-upgrade google-chrome-stable

    • Проверка версии: В браузере перейдите в chrome://settings/help.

  • Microsoft Edge: Обновите до версии 96.0.1054.62 или новее.

    • Обновление через меню: Настройки и другое (…)Справка и отзывО Microsoft Edge.
    • Для Windows (через командную строку): bash # Запустите обновление вручную "%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" --update

  • Opera: Обновите до версии 82.0.4227.23 или новее через меню Меню (O)Обновление и восстановлениеПроверить обновление.

  • Для системных администраторов (управляемые развертывания):

    • Google Chrome: Пересоберите и распространите пакет MSI (Windows) или DEB/RPM (Linux) с версией 96.0.4664.110 или выше, используя Chrome Enterprise Bundle.
    • Microsoft Edge: Распространите политики обновления через Microsoft Intune или групповые политики, указав целевую версию 96.0.1054.62.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Настройка WAF (Web Application Firewall):

    • Включите правила для блокировки известных эксплойтов, нацеленных на уязвимости в движке V8 (например, сигнатуры, связанные с CVE-2021-4102, если они доступны у вашего вендора WAF).
    • Активируйте режим предотвращения атак типа "zero-day" или "Heap Spraying", если он поддерживается.

  2. Ограничение доступа к браузерам:

    • В корпоративной среде временно ограничьте доступ к внешним, ненадежным веб-сайтам с помощью прокси-сервера или политик DNS.
    • Рассмотрите возможность использования изолированных сред (например, контейнеров, виртуальных машин) для запуска браузера при работе с непроверенным контентом.

  3. Отключение JavaScript (крайняя мера):

    • В браузере можно временно отключить выполнение JavaScript через настройки разработчика или расширения. Важно: Это нарушит функциональность большинства современных сайтов. Используйте только для критически важных систем, где браузер необходим для работы с доверенными внутренними ресурсами.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей