Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2025-00715

CVSS: 8.8

14.01.2025

Уязвимость графической библиотеки Skia браузера Google Chrome и Microsoft Edge, позволяющая нарушителю проводить межсайтовые сценарные атаки

Уязвимость графической библиотеки Skia браузера Google Chrome и Microsoft Edge связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки с помощью специально созданной HTML-страницы.

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	14.01.2025
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Инъекция
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для Google Chrome: https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html Для Microsoft Edge: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-0436 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HAJRCJI7B63QFDKGIOBRUWYWVPBIGNKS/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3JMXRBIXOQBZBCNNXYNNTEWSQ3UBQC7J/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2025-0436 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2025-0436.html Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-chromium-070325/?sphrase_id=810552 Для ОС Astra Linux: обновить пакет chromium до 1:132.0.6834.159-0astragost0 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-472	CWE-472 External Control of Assumed-Immutable Web Parameter
CWE-79	CWE-79 Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting')

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2025-0436	Integer overflow in Skia in Google Chrome prior to 132.0.6834.83 allowed a remote attacker to potentially exploit heap corrup...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
10	CRITICAL	2.0	AV:N/AC:L/Au:N/C:C/I:C/A:C
8.8	HIGH	3.0	AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2025-0436

Вендор:	Novell Inc. Сообщество свободного программного обеспечения ООО «Ред Софт» ООО «РусБИТех-Астра» Fedora Project Microsoft Corp. Google Inc.
Тип ПО:	Операционная система Прикладное ПО информационных систем
Наименование ПО:	openSUSE Tumbleweed Debian GNU/Linux РЕД ОС Astra Linux Special Edition Fedora OpenSUSE Leap SUSE Package Hub Microsoft Edge Google Chrome
Версия ПО:	- (openSUSE Tumbleweed) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) 13 (Debian GNU/Linux) 40 (Fedora) 41 (Fedora) 15.6 (OpenSUSE Leap) 15 SP6 (SUSE Package Hub) до 132.0.2957.115 (Microsoft Edge) до 132.0.6834.83 (Google Chrome)
ОС и аппаратные платформы:	Windows (.) Linux (-) openSUSE Tumbleweed (-) Mac OS (-) Debian GNU/Linux (11) Debian GNU/Linux (12) РЕД ОС (7.3) Astra Linux Special Edition (1.7) Debian GNU/Linux (13) Fedora (40) Fedora (41) OpenSUSE Leap (15.6)
Ссылки на источники:	https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html https://issues.chromium.org/issues/359949844 https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-chromium-070325/?sphrase_id=810552 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2025-00715