ГлавнаяБаза уязвимостей БДУ → BDU:2023-04575
10критическая

BDU:2023-04575 (CVE-2023-32435)

Уязвимость модулей отображения веб-страниц WebKitGTK и WPE WebKit браузера Safari, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2023-08-11
Описание

Уязвимость модулей отображения веб-страниц WebKitGTK и WPE WebKit браузера Safari связана с выходом операции за границы буфера в памяти при обработке веб-контента. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)iPadOS (до 15.7.7)iOS (до 15.7.7)WebKitGTK (до 2.40.0)WPE WebKit (до 2.40.0)Safari (до 16.4)iOS (от 16.0 до 16.4)iPadOS (от 16.0 до 16.4)MacOS (до 13.3)
Способ устранения

Использование рекомендаций:
Для WebKitGTK и WPE WebKit:
https://webkitgtk.org/security/WSA-2023-0005.html

Для программных продуктов Apple Inc.:
https://support.apple.com/en-us/HT213670
https://support.apple.com/en-us/HT213671
https://support.apple.com/en-us/HT213676
https://support.apple.com/en-us/HT213811

Для программных продуктов Re Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-32435

Компенсирующие меры:
т.к данная уязвимость возникает при обработке веб-контента с использованием технологии на основе WebAssembly, рекомендуется установить переменные среды, равные нулю: JavaScriptCoreUseJIT=0
или
JSC_useWebAssembly=0,
которые отключат поддержку WebAssembly и сделают невозможным компиляцию для высокоуровневых языков.

Для ОС Astra Linux Special Edition 1.7:
обновить пакет webkit2gtk до 2.40.5-1~deb11u1+ci202308141639+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для Astra Linux Special Edition 4.7:
обновить пакет webkit2gtk до 2.42.2-1~deb11u1+ci202311201532+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://webkitgtk.org/security/WSA-2023-0005.htmlhttps://support.apple.com/en-us/HT213670https://support.apple.com/en-us/HT213671https://support.apple.com/en-us/HT213676https://support.apple.com/en-us/HT213811https://access.redhat.com/security/cve/cve-2023-32435https://bugzilla.redhat.com/show_bug.cgi?id=2218626https://vuldb.com/ru/?id.232304
Проверьте безопасность своего сайта и почты → Полная проверка домена