CVE-2025-13992Средний
ANC
ANC
Коррекции базы Anchore
Дополнительная лента, накладываемая поверх upstream-источников. Мейнтейнеры Anchore публикуют корректирующие записи, чтобы подавить известные ложные срабатывания и восполнить пробелы в CPE/PURL, из-за которых Grype и аналогичные сканеры могут некорректно оценить систему.
Регион
США
Обновления
6 ч
Лицензия
Apache-2.0
Выверенные коррекции базы уязвимостей Anchore/Grype: подавление ложных срабатываний, недостающие привязки CPE и дистрибутив-специфичные бэкпорты исправлений.
https://github.com/anchore/grype-db →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
Утечка информации в боковых каналах в навигации и загрузке в Google Chrome до 139.0.7258.66 позволяла удаленному злоумышленнику обходить из…
CVSS
4.7
Средний
EPSS
0.00
p6
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание
Утечка информации в боковых каналах в навигации и загрузке в Google Chrome до 139.0.7258.66 позволяла удаленному злоумышленнику обходить изоляцию сайта через созданную HTML-страницу. (Тяжесть безопасности хрома: средняя)
Теги · CWE
Без аутентификации
CWE-1300
CWE-1300БазаСтабильный
Недостаточная защита от физических атак по сторонним каналам
Устройство не содержит достаточных механизмов защиты, предотвращающих утечку чувствительной информации через физические боковые каналы вследствие закономерностей в физически наблюдаемых явлениях — таких как вариации потребления мощности, электромагнитного излучения (ЭМИ) или акустического излучения.
https://cwe.mitre.org/data/definitions/1300.html →Открыть в коллекции CWE →CAPEC-189
CAPEC-189СтандартЧерновик
Обратная разработка методом «чёрного ящика»
Злоумышленник обнаруживает структуру, функции и состав программного обеспечения с использованием методов анализа по принципу «чёрного ящика». Методы «чёрного ящика» предполагают взаимодействие с программным обеспечением косвенно, без прямого доступа к исполняемому объекту. Такой анализ обычно предполагает взаимодействие с программным обеспечением на границах его взаимодействия с более широкой средой выполнения, например через входно-выходные векторы, библиотеки или API. Обратная разработка по принципу «чёрного ящика» также включает сбор физических побочных эффектов аппаратного устройства, таких как электромагнитное излучение или звук.
https://capec.mitre.org/data/definitions/189.html →Открыть в коллекции CAPEC →CAPEC-699
CAPEC-699МетаЧерновик
Прослушивание монитора
Злоумышленник может прослушивать содержимое внешнего монитора через эфир без модификации кабелей или установки программного обеспечения, лишь захватывая сигнал, излучаемый кабелем или видеопортом. Это позволяет злоумышленнику нарушить конфиденциальность данных, оставаясь незамеченным традиционными средствами защиты.
https://capec.mitre.org/data/definitions/699.html →Открыть в коллекции CAPEC →Затронутые продукты
ChromiumChromiumChromiumChromiumChromiumChromium-browserChromium-browserChromium-browserChromium-browserChrome
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: L
Низкое (L)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.000 · p6
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Уязвимое ПО
| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| chromium | Отслеживается | |
| chromium | Отслеживается | |
| chromium | Отслеживается | |
| chromium | Отслеживается | |
| chromium | Отслеживается | |
| chromium-browser | Отслеживается | |
| chromium-browser | Отслеживается | |
| chromium-browser | Отслеживается | |
| chromium-browser | Отслеживается | |
| chrome | * | Отслеживается |
Источники данных
ANC
ANC
Коррекции базы Anchore
Дополнительная лента, накладываемая поверх upstream-источников. Мейнтейнеры Anchore публикуют корректирующие записи, чтобы подавить известные ложные срабатывания и восполнить пробелы в CPE/PURL, из-за которых Grype и аналогичные сканеры могут некорректно оценить систему.
Регион
США
Обновления
6 ч
Лицензия
Apache-2.0
Выверенные коррекции базы уязвимостей Anchore/Grype: подавление ложных срабатываний, недостающие привязки CPE и дистрибутив-специфичные бэкпорты исправлений.
https://github.com/anchore/grype-db →AST
AST
Бюллетени безопасности Astra Linux
Astra публикует бюллетени для каждого релиза, сопоставляя upstream CVE с собственными репозиториями пакетов, с указанием сроков устранения в привязке к уровню сертификации (SE 1.7, CE 2.12 и т. д.). Необходимый источник для систем, требующих сертификации ФСТЭК/ФСБ.
Регион
Россия
Обновления
24 ч
Лицензия
Открытые данные
Вендорские бюллетени безопасности Astra Linux Special Edition и Common Edition — основной сертифицированной ОС для обороны и критической инфраструктуры РФ.
https://wiki.astralinux.ru/pages/viewpage.action?pageId=27362056 →DEB
DEB
Бюллетени безопасности Debian (DSA)
DSA публикуются командой безопасности Debian для проблем, затрагивающих стабильный дистрибутив. Трекер security-tracker.debian.org дополнительно сопоставляет каждый CVE со статусом на уровне пакетов по всем поддерживаемым редакциям.
Регион
Международно
Обновления
1 ч
Лицензия
Общественное достояние
Бюллетени для стабильной и предыдущей стабильной версий Debian. Примечания к релизам содержат точную версию .deb-пакета, устраняющего каждую уязвимость.
https://www.debian.org/security/ →CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →RED
RED
Бюллетени безопасности Red Hat (RHSA)
Бюллетени Red Hat являются авторитетным источником для систем семейства RHEL: каждая запись содержит точный NEVRA исправленного пакета, затронутые потоки и собственную оценку критичности Red Hat, которая может отличаться от NVD. Большинство производных проектов (CentOS Stream, Rocky, Alma) используют эти идентификаторы.
Регион
США
Обновления
1 ч
Лицензия
CC BY-SA 4.0
Бюллетени для Red Hat Enterprise Linux, OpenShift, Ansible и прочих продуктов Red Hat. Содержит подробное отслеживание бэкпортов — критически важно для LTS-дистрибутивов.
https://access.redhat.com/security/security-updates/ →UBU
UBU
Бюллетени безопасности Ubuntu (USN)
USN являются авторитетным источником для систем Ubuntu. CVE Tracker связывает каждую уязвимость со статусом по релизам (needed, released, not-affected) и с конкретной ошибкой в Launchpad, в которой интегрировано исправление.
Регион
Международно
Обновления
1 ч
Лицензия
CC BY-SA 3.0
Бюллетени безопасности для LTS- и промежуточных релизов Ubuntu: пакеты main, universe и (через Ubuntu Pro) ESM-расширенные.
https://ubuntu.com/security/notices →Связанные уязвимости
Внешние ссылки
https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop.html@https://issues.chromium.org/issues/40095391https://errata.altlinux.org/ALT-PU-2025-10850@https://bdu.fstec.ru/vul/2025-09421@https://bdu.fstec.ru/vul/2025-09454@https://bdu.fstec.ru/vul/2025-09455@https://bdu.fstec.ru/vul/2025-09456@https://bdu.fstec.ru/vul/2025-09463@https://bdu.fstec.ru/vul/2025-09475@https://bdu.fstec.ru/vul/2025-09932@https://bdu.fstec.ru/vul/2025-09933@https://bdu.fstec.ru/vul/2025-09934@https://bdu.fstec.ru/vul/2025-10156@https://bdu.fstec.ru/vul/2025-10157@https://bdu.fstec.ru/vul/2025-10158@https://bdu.fstec.ru/vul/2025-10159@https://bdu.fstec.ru/vul/2025-10160@https://bdu.fstec.ru/vul/2025-11093@https://bdu.fstec.ru/vul/2026-00271@https://nvd.nist.gov/vuln/detail/CVE-2025-13992@https://nvd.nist.gov/vuln/detail/CVE-2025-8292@https://nvd.nist.gov/vuln/detail/CVE-2025-8576@https://nvd.nist.gov/vuln/detail/CVE-2025-8577@https://nvd.nist.gov/vuln/detail/CVE-2025-8578@https://nvd.nist.gov/vuln/detail/CVE-2025-8579@https://nvd.nist.gov/vuln/detail/CVE-2025-8580@https://nvd.nist.gov/vuln/detail/CVE-2025-8581@https://nvd.nist.gov/vuln/detail/CVE-2025-8582@https://nvd.nist.gov/vuln/detail/CVE-2025-8583@https://nvd.nist.gov/vuln/detail/CVE-2025-8879@https://nvd.nist.gov/vuln/detail/CVE-2025-8880@https://nvd.nist.gov/vuln/detail/CVE-2025-8881@https://nvd.nist.gov/vuln/detail/CVE-2025-8882@https://nvd.nist.gov/vuln/detail/CVE-2025-8901@https://nvd.nist.gov/vuln/detail/CVE-2025-9132