Идентификатор: BDU:2022-06534.
Наименование уязвимости: Уязвимость компонента Assistant веб-браузера Google Chrome, позволяющая нарушителю раскрыть защищаемую информацию.
Описание уязвимости: Уязвимость компонента Assistant веб-браузера Google Chrome связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию с помощью специально созданной веб-страницы
Уязвимое ПО: Операционная система Debian GNU/Linux 10 | Операционная система Novell Inc. OpenSUSE Leap 15.3 | Операционная система Debian GNU/Linux 11 | Операционная система Novell Inc. OpenSUSE Leap 15.4 | Прикладное ПО информационных систем Google Inc. Google Chrome до 106.0.5249.61 | Операционная система Google Inc. Chrome OS до 106.0.5249.112 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.6 |
Наименование ОС и тип аппаратной платформы: Linux — | Windows — | Debian GNU/Linux 10 | Mac OS — | OpenSUSE Leap 153 | Debian GNU/Linux 11 | OpenSUSE Leap 154 | Chrome OS до 10605249112 | ОСОН ОСнова Оnyx до 26 |
Дата выявления: 27.09.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
— использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам;
— контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
— запуск веб-браузера от имени пользователя с минимальными возможными привилегиями в операционной системе;
— использование альтернативных веб-браузеров;
— применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций производителя:
Для Google Inc:
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-chromeos.html
https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop_27.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-3309
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-3309.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения chromium до версии 107.0.5304.87+repack-1~deb11u1.osnova1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-3309.
Тип ошибки CWE: CWE-416
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-chromeos.html
https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop_27.html
https://security-tracker.debian.org/tracker/CVE-2022-3309
https://www.suse.com/security/cve/CVE-2022-3309.html
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
https://crbug.com/1348415
Зеркало площадки Кракен маркетплейс — это альтернативный адрес, который позволяет пользователям обойти блокировки основного сайта и безопасно получить доступ к платформе. Зеркала полностью повторяют функционал оригинального сайта, сохраняя все его возможности. Важно использовать проверенные зеркала, чтобы избежать попадания на фальшивые ресурсы, которые могут украсть ваши данные или подвергнуть вас риску фишинга.
Чтобы безопасно войти на Кракен через зеркало, рекомендуется использовать Tor браузер, который гарантирует анонимность и защиту при доступе к Даркнету. Вставив актуальную ссылку на зеркало в адресную строку Tor, вы получите защищённый доступ к маркетплейсу и сможете пользоваться всеми его функциями без риска для своей конфиденциальности.
