BDU:2025-09475
Уязвимость интерфейса chrome.fileSystem браузера Google Chrome, позволяющая нарушителю выполнить подмену пользовательского интерфейса
📄 Описание
Уязвимость интерфейса chrome.fileSystem браузера Google Chrome связана с ошибками реализации проверки безопасности для стандартных элементов. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить подмену пользовательского интерфейса
🖥️ Уязвимое ПО
ООО «Ред Софт», ООО «РусБИТех-Астра», Google Inc, АО "НППКТ"
Наименование ПО: РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Common Edition (запись в едином реестре российских программ №4433), Google Chrome, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО: 7.3 (РЕД ОС), 1.7 (Astra Linux Special Edition), 4.7 (Astra Linux Special Edition), 1.6 «Смоленск» (Astra Linux Common Edition), 1.8 (Astra Linux Special Edition), до 139.0.7258.66 (Google Chrome), до 2.14 (ОСОН ОСнова Оnyx), до 3.1 (ОСОН ОСнова Оnyx)
Тип ПО: Операционная система, Прикладное ПО информационных систем
ОС / платформа: ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751), ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369), ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 (запись в едином реестре российских программ №369), ООО «РусБИТех-Астра» Astra Linux Common Edition 1.6 «Смоленск» (запись в едином реестре российских программ №4433), ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8 (запись в едином реестре российских программ №369), АО "НППКТ" ОСОН ОСнова Оnyx до 2.14 (запись в едином реестре российских программ №5913), АО "НППКТ" ОСОН ОСнова Оnyx до 3.1 (запись в едином реестре российских программ №5913)
⚙️ Технические сведения
Тип ошибки
Разрешения, привилегии и средства управления доступом (CWE-264), Неправильный контроль доступа (CWE-284), Неправильно реализованная проверка безопасности для стандартных элементов (CWE-358)
Класс уязвимости
Уязвимость многофакторная
Дата выявления
18.04.2025
Способ эксплуатации
Злоупотребление функционалом, Нарушение авторизации
Способ устранения
Обновление программного обеспечения
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Устранение
Уязвимость устранена
📊 CVSS
CVSS 2.0
AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 3.0
AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 4.0
AV:N/AC:L/AT:P/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
⚠️ Уровень опасности
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,3)
Низкий уровень опасности (оценка CVSS 4.0 составляет 2,1)
🔗 Источники и меры
🔗 https://chromereleases.googleblog.com/2025/08/stab... 🔗 https://www.cybersecurity-help.cz/vdb/SB2025080602 🔗 https://developer.chrome.com/docs/apps/reference/f... 🔗 https://wiki.astralinux.ru/astra-linux-se17-bullet... 🔗 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновле... 🔗 https://wiki.astralinux.ru/astra-linux-se47-bullet... 🔗 https://redos.red-soft.ru/support/secure/uyazvimos... 🔗 https://wiki.astralinux.ru/astra-linux-se18-bullet... 🔗 https://wiki.astralinux.ru/astra-linux-se16-bullet... 🔗 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновле...
🏷️ Идентификаторы
CVE-2025-8580
📅 Даты
Дата публикации
07.08.2025
Последнее обновление
04.03.2026
← Назад к списку