КиберосноваSGRC
BDU:2023-06113
Критический
Эксплойт

BDU:2023-06113: Уязвимость модуля отображения веб-страниц WebKit браузера Safari и операционных систем iOS и iPadOS, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

CVSS v39.8
CVSS v210.0

Детали уязвимости BDU:2023-06113

Описание

Уязвимость модуля отображения веб-страниц WebKit браузера Safari и операционных систем iOS и iPadOS связана с недостаточной проверкой необычных или исключительных состояний при обработке веб-содержимого. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Что делать с BDU:2023-06113

Критическая уязвимость (CVSS 9.8) требует немедленного реагирования. По приказу ФСТЭК №117 срок устранения — 24 часа. Проверьте наличие патча у вендора и установите его на все затронутые системы. При невозможности патча — изолируйте уязвимый компонент и примените компенсирующие меры.

⚠ Для этой уязвимости существует публичный эксплойт — риск активной эксплуатации повышен. Устраните в первую очередь.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
9.8Критический
Пересчитать →
v2
10.0
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAV:N/AC:L/Au:N/C:C/I:C/A:C

CWE — тип уязвимости

CVE — международный идентификатор

CWE-754
Некорректная обработка исключений

Программа не обрабатывает нестандартные или ошибочные состояния. Приводит к непредсказуемому поведению.

Как атакуют и что делать ▾

Сценарий атаки

Программа не обрабатывает ошибку при отказе сети, диска, выделении памяти — продолжает работу с некорректным состоянием.

Последствия

Непредсказуемое поведение, повреждение данных, обход проверок безопасности.

Рекомендации

Обрабатывайте все коды ошибок, используйте fail-fast, логируйте нестандартные состояния.

Тактики и техники

Манипулирование сроками и состоянием

Уязвимое ПО (12)

ВендорНазваниеВерсияПлатформа
ООО «РусБИТех-Астра»Astra Linux Special Edition1.6 «Смоленск»Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.7Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition4.7ARM
Apple Inc.Safariдо 16.6.1Не указана
Apple Inc.iOSдо 16.7Не указана
Apple Inc.iOS17.0Не указана
Apple Inc.iPadOS17.0Не указана
Apple Inc.iPadOSдо 16.7Не указана
Axiom JDKAxiom AxiomJDKдо 8u412Не указана
Axiom JDKAxiom AxiomJDKдо 11.0.23Не указана
Axiom JDKAxiom AxiomJDKдо 17.0.11Не указана
Axiom JDKAxiom AxiomJDKдо 21.0.3Не указана

Среды функционирования (7)

ВендорНазваниеВерсияПлатформа
ООО «РусБИТех-Астра»Astra Linux Special Edition1.6 «Смоленск»Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.7Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition4.7ARM
Apple Inc.iOSдо 16.7Не указана
Apple Inc.iOS17.0Не указана
Apple Inc.iPadOS17.0Не указана
Apple Inc.iPadOSдо 16.7Не указана

Рекомендации по устранению

Использование рекомендаций: https://support.apple.com/en-us/HT213926 https://support.apple.com/en-us/HT213927 https://support.apple.com/en-us/HT213930 Для Astra Linux 1.6 «Смоленск»: обновить пакет webkit2gtk до 2.18.6-1~deb9u1+ci202312010916+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16 Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64: обновить пакет webkit2gtk до 2.42.2-1~deb11u1+ci202311201532+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17 Для Astra Linux Special Edition 4.7: обновить пакет webkit2gtk до 2.42.2-1~deb11u1+ci202311201532+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47 Для AxiomJDK: https://axiomjdk.ru/pages/downloads/

SLA ФСТЭК №117

24 часа

по базовой оценке CVSS 9.8

Уточните SLA под вашу среду

Базовый балл 9.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Немедленно устранить

Эксплуатируется или вероятность крайне высока. Приоритет №1 — устраните в первую очередь.

EPSS — вероятность эксплуатации29.2%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

CISA KEV — активно эксплуатируется

Включена в каталог Known Exploited Vulnerabilities. Устранение — приоритет.

Информация

Обнаружена

2023-09-06

Опубликована

2023-09-27

Обновлена

2025-01-31

Эксплойт

Существует

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

Сертификация ФСТЭК

Продукт сертифицирован ФСТЭК России — сертификат 2557 (действует).

Карточка сертификата в реестре СЗИ

Сертификация подтверждает соответствие требованиям по защите информации на момент выдачи и не гарантирует отсутствие уязвимостей.

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0