Google Gears の WorkerPool API における同一送信元ポリシーを回避される脆弱性
| Title |
Google Gears の WorkerPool API における同一送信元ポリシーを回避される脆弱性
|
| Summary |
Google Gears の WorkerPool API には、同一送信元ポリシーおよび allowCrossOrigin 関数のアクセス制限を回避される脆弱性が存在します。
|
| Possible impacts |
第三者により、ターゲットドメイン上に Google Gear コマンドを含む安全と思わせるファイルをホスティングし、攻撃ドメインからファイルにアクセスすることで、レスポンスヘッダがチェックされずにワーカーコードがターゲットドメイン内で起動する状態を誘発し、同一送信元ポリシーおよび allowCrossOrigin 関数のアクセス制限を回避される可能性があります。 |
| Solution |
ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
March 24, 2009, midnight |
| Registration Date |
June 26, 2012, 4:10 p.m. |
| Last Update |
June 26, 2012, 4:10 p.m. |
|
CVSS2.0 : 警告
|
| Score |
6.8
|
| Vector |
AV:N/AC:M/Au:N/C:P/I:P/A:P |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2012年06月26日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2008-6512
| Summary |
Cross-domain vulnerability in the WorkerPool API in Google Gears before 0.5.4.2 allows remote attackers to bypass the Same Origin Policy and the intended access restrictions of the allowCrossOrigin function by hosting an assumed-safe file type containing Google Gear commands on the target domain, then accessing that file from the attacking domain, whose response headers are not checked and cause the worker code to run in the target domain.
|
| Publication Date |
March 24, 2009, 11:30 p.m. |
| Registration Date |
Jan. 29, 2021, 1:50 p.m. |
| Last Update |
Aug. 17, 2017, 10:29 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:google:gears:0.1:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:google:gears:0.2:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:google:gears:0.3:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:google:gears:0.4:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:google:gears:*:*:*:*:*:*:*:* |
|
0.5 |
|
|
Related information, measures and tools
Common Vulnerabilities List