CVE-2022-0609

Google Chromium Animation

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-02-15

Официальное описание

Google Chromium Animation contains a use-after-free vulnerability that allows a remote attacker to potentially exploit heap corruption via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа «использование после освобождения» (use-after-free) в компоненте Animation движка Chromium. Удаленный злоумышленник может создать специальную HTML-страницу, которая при открытии в браузере приводит к повреждению кучи (heap corruption). Это может позволить выполнить произвольный код в контексте браузера жертвы.

Как исправить

Обновите браузер до версии, в которой уязвимость исправлена. Для основных ОС:

  • Google Chrome: Версия 99.0.4844.51 и выше. bash # Для Linux (Debian/Ubuntu) sudo apt update && sudo apt install --only-upgrade google-chrome-stable
  • Microsoft Edge: Версия 99.0.1150.30 и выше.
    • Обновление через меню браузера: Настройки → О Microsoft Edge.
    • Или через командную строку (Windows): bash # Запустите команду для принудительной проверки обновлений "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --update
  • Opera: Обновите до версии 85.0.4341.47 или выше через меню Меню → Обновление и восстановление → Проверить обновление.

Для Windows (системное обновление): * Убедитесь, что установлены последние накопительные обновления для вашей версии Windows, которые могут содержать обновленный компонент Chromium для Edge. * Проверьте Центр обновления Windows на наличие обновлений для Microsoft Edge.

Временное решение

Если немедленное обновление невозможно:

  1. Настройка WAF (Web Application Firewall):

    • Настройте правила для блокировки HTML-страниц с подозрительными или сложными анимациями, использующими API Element.animate() или Web Animations API. Конкретные сигнатуры зависят от возможностей WAF.
    • Рассмотрите возможность временного блокирования контента с неизвестных или ненадежных доменов.

  2. Ограничение доступа:

    • Используйте групповые политики (GPO) или системы управления для временного ограничения доступа к ненадежным веб-сайтам через браузеры на основе Chromium.

  3. Повышение осведомленности:

    • Проинструктируйте пользователей не переходить по ссылкам и не открывать вложения из непроверенных источников.
    • Рекомендуйте использовать альтернативный браузер (не на движке Chromium) для посещения непроверенных ресурсов до установки обновления.

Важно: Эти меры носят временный характер и не устраняют уязвимость. Приоритетной задачей должно быть обновление браузера.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей