Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2021-00860

CVSS: 4.3

20.01.2021

Уязвимость изолированной среды iframe веб-браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности

Уязвимость изолированной среды iframe веб-браузера Google Chrome связана с некорректным ограничением визуализированных слоев пользовательского интерфейса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	20.01.2021
Класс уязвимости:	Уязвимость архитектуры
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Подмена при взаимодействии
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для Google Chrome: https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop_19.html Для программных продуктов Microsoft Corp.: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-21139 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-21139 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2021-21139/ Для Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 Для ОСОН Основа: Обновление программного обеспечения chromium до версии 90.0.4430.212+repack-1~deb10u1.osnova2 Для ОС ОН «Стрелец»: Обновление программного обеспечения chromium до версии 105.0.5195.125+repack2-1~deb11u1.osnova1.strelets Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-1021	CWE-1021: Improper Restriction of Rendered UI Layers or Frames

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2021-21139	Inappropriate implementation in iframe sandbox in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to bypass nav...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
4.3	MEDIUM	2.0	AV:N/AC:M/Au:N/C:N/I:P/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2021-21139

Вендор:	Microsoft Corp. Сообщество свободного программного обеспечения ООО «РусБИТех-Астра» Novell Inc. Google Inc. АО «ИВК» АО "НППКТ" АО «Концерн ВНИИНС»
Тип ПО:	Прикладное ПО информационных систем Операционная система
Наименование ПО:	Microsoft Edge Debian GNU/Linux Astra Linux Special Edition OpenSUSE Leap SUSE Package Hub for SUSE Linux Enterprise Google Chrome Альт 8 СП ОСОН ОСнова Оnyx ОС ОН «Стрелец»
Версия ПО:	- (Microsoft Edge) 9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 15.1 (OpenSUSE Leap) 10 (Debian GNU/Linux) 15.2 (OpenSUSE Leap) 15 SP2 (SUSE Package Hub for SUSE Linux Enterprise) до 88.0.4324.96 (Google Chrome) 15 SP1 (SUSE Package Hub for SUSE Linux Enterprise) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) - (Альт 8 СП) до 2.1 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
ОС и аппаратные платформы:	Debian GNU/Linux (9) Astra Linux Special Edition (1.6 «Смоленск») OpenSUSE Leap (15.1) Debian GNU/Linux (10) OpenSUSE Leap (15.2) Astra Linux Special Edition (1.7) Astra Linux Special Edition (4.7) Альт 8 СП (-) ОС ОН «Стрелец» (до 16.01.2023)
Ссылки на источники:	https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop_19.html https://crbug.com/937131 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-21139 https://nvd.nist.gov/vuln/detail/CVE-2021-21139 https://security-tracker.debian.org/tracker/CVE-2021-21139 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.suse.com/security/cve/CVE-2021-21139/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023 https://altsp.su/obnovleniya-bezopasnosti/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-00860