Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2024-10240

CVSS: 6.1

19.11.2024

Уязвимость браузера Safari операционных систем iOS, iPadOS, visionOS, Mac OS, позволяющая нарушителю проводить межсайтовые сценарные атаки

Уязвимость браузера Safari операционных систем iOS, iPadOS, visionOS, Mac OS связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	19.11.2024
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует
Способ эксплуатации:	Инъекция
Способ устранения:	Нет данных
Меры по устранению:	В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года. Использование рекомендаций: Для iOS, iPadOS, visionOS, Mac OS https://support.apple.com/en-us/121752 https://support.apple.com/en-us/121753 https://support.apple.com/en-us/121754 https://support.apple.com/en-us/121755 https://support.apple.com/en-us/121756 Для WebKitGTK и WPE WebKit: https://webkitgtk.org/security/WSA-2024-0007.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2024-44309 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-44309 Для Ubuntu: https://ubuntu.com/security/CVE-2024-44309 Обновление программного обеспечения webkit2gtk до версии 2.46.5-1~deb11u1 Для ОС Astra Linux: обновить пакет webkit2gtk до 2.46.4-1~deb11u1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17 Для ОС Astra Linux: обновить пакет webkit2gtk до 2.48.0-1~deb12u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18 Для ОС Astra Linux: обновить пакет webkit2gtk до 2.46.6-1~deb11u1.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-20	Некорректная проверка входных данных
CWE-79	CWE-79 Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting')

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2024-44309	A cookie management issue was addressed with improved state management. This issue is fixed in Safari 18.1.1, iOS 17.7.2 and...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
6.4	MEDIUM	2.0	AV:N/AC:L/Au:N/C:P/I:P/A:N
6.1	MEDIUM	3.0	AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2024-44309

Вендор:	Red Hat Inc. Сообщество свободного программного обеспечения ООО «РусБИТех-Астра» Canonical Ltd. Apple Inc. АО "НППКТ"
Тип ПО:	Операционная система Прикладное ПО информационных систем
Наименование ПО:	Red Hat Enterprise Linux Debian GNU/Linux Astra Linux Special Edition Ubuntu Safari WebKitGTK WPE WebKit ОСОН ОСнова Оnyx
Версия ПО:	7 (Red Hat Enterprise Linux) 8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) 22.04 LTS (Ubuntu) 9 (Red Hat Enterprise Linux) 8.2 Advanced Update Support (Red Hat Enterprise Linux) 8.4 Telecommunications Update Service (Red Hat Enterprise Linux) 8.4 Update Services for SAP Solutions (Red Hat Enterprise Linux) 8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux) 8.8 Extended Update Support (Red Hat Enterprise Linux) 9.2 Extended Update Support (Red Hat Enterprise Linux) 24.04 LTS (Ubuntu) 9.0 Update Services for SAP Solutions (Red Hat Enterprise Linux) 8.6 Update Services for SAP Solutions (Red Hat Enterprise Linux) 8.6 Telecommunications Update Service (Red Hat Enterprise Linux) 8.6 Advanced Mission Critical Update Support (Red Hat Enterprise Linux) 1.8 (Astra Linux Special Edition) 24.10 (Ubuntu) 18.1.1 (Safari) 9.4 Extended Update Support (Red Hat Enterprise Linux) до 2.46.4 (WebKitGTK) до 2.46.4 (WPE WebKit) до 2.12 (ОСОН ОСнова Оnyx)
ОС и аппаратные платформы:	Red Hat Enterprise Linux (7) Red Hat Enterprise Linux (8) Debian GNU/Linux (10) Debian GNU/Linux (11) Debian GNU/Linux (12) Astra Linux Special Edition (1.7) Astra Linux Special Edition (4.7) Ubuntu (22.04 LTS) Red Hat Enterprise Linux (9) Red Hat Enterprise Linux (8.2 Advanced Update Support) Red Hat Enterprise Linux (8.4 Telecommunications Update Service) Red Hat Enterprise Linux (8.4 Update Services for SAP Solutions) Red Hat Enterprise Linux (8.4 Advanced Mission Critical Update Support) Red Hat Enterprise Linux (8.8 Extended Update Support) Red Hat Enterprise Linux (9.2 Extended Update Support) Ubuntu (24.04 LTS) Red Hat Enterprise Linux (9.0 Update Services for SAP Solutions) Red Hat Enterprise Linux (8.6 Update Services for SAP Solutions) Red Hat Enterprise Linux (8.6 Telecommunications Update Service) Red Hat Enterprise Linux (8.6 Advanced Mission Critical Update Support) Astra Linux Special Edition (1.8) Ubuntu (24.10) iOS (17.7.2) iOS (18.1.1) iPadOS (18.1.1) iPadOS (17.7.2) visionOS (2.1.1) Mac OS (Sequoia 15.1.1) Red Hat Enterprise Linux (9.4 Extended Update Support) ОСОН ОСнова Оnyx (до 2.12)
Ссылки на источники:	https://support.apple.com/en-us/121752 https://support.apple.com/en-us/121753 https://support.apple.com/en-us/121754 https://support.apple.com/en-us/121755 https://support.apple.com/en-us/121756 https://www.cybersecurity-help.cz/vdb/SB2024112002 https://github.com/advisories/GHSA-6cpp-mpjx-cx8v https://www.cisa.gov/news-events/alerts/2024/11/21/cisa-adds-three-known-exploited-vulnerabilities-catalog https://security-tracker.debian.org/tracker/CVE-2024-44309 https://access.redhat.com/security/cve/cve-2024-44309 https://ubuntu.com/security/CVE-2024-44309 https://webkitgtk.org/security/WSA-2024-0007.html https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.12/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17 https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2024-10240