Уязвимости Microsoft Edge: CVE, БДУ ФСТЭК и мониторинг
Уязвимости Microsoft Edge из реестра БДУ ФСТЭК: 1 849 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости Microsoft Edge из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 1 849.
BDU:2023-05510Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код
BDU:2016-02405Уязвимость браузера Microsoft Edge, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
BDU:2021-01372Уязвимость браузера Internet Explorer и Microsoft Edge, связанная с повторным освобождением памяти, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаем
BDU:2017-01471Уязвимость библиотеки mshtml.dll браузеров Internet Explorer и Microsoft Edge , позволяющая нарушителю выполнить произвольный код
BDU:2016-02404Уязвимость браузера Microsoft Edge, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
BDU:2021-04793Уязвимость обработчика JavaScript-сценариев V8 браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-02338Уязвимость обработчика JavaScript-сценариев V8 браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю выполнить произвольный код
BDU:2023-02114Уязвимость обработчика JavaScript-сценариев V8 браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
BDU:2024-06219Уязвимость встроенного браузера Microsoft Edge операционных систем Microsoft Windows, позволяющая нарушителю выполнить произвольный код
BDU:2023-03080Уязвимость обработчика JavaScript-сценариев V8 браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю выполнить произвольный код
Почему важно отслеживать уязвимости Microsoft Edge
Microsoft Edge — браузер компании Microsoft на движке Chromium, штатный компонент Windows и типовое рабочее место в ГИС и ИСПДн. Как и все Chromium-браузеры, Edge накапливает уязвимости класса use-after-free (CWE-416), путаницы типов (CWE-843) и межсайтового скриптинга (XSS, CWE-79) — критичные баги движка V8 и рендеринга дают удалённое выполнение кода при открытии вредоносной страницы. Microsoft выпускает обновления безопасности вслед за циклом Chromium — примерно раз в четыре недели плюс внеплановые патчи для активно эксплуатируемых 0-day. По приказу ФСТЭК №117 уязвимость с CVSS 9.0+ устраняется за 24 часа, 7.0-8.9 — за 7 дней; для ГИС и ИСПДн действуют требования приказов №17, №21 и №239. Платформа SGRC КиберОснова сопоставляет реестр ИТ-активов с БДУ ФСТЭК и автоматически ставит задачи на устранение с дедлайном по SLA.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей Microsoft Edge
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.