製品・ソフトウェアに関する情報

JVN脆弱性詳細

Android における SSL 証明書の表示に関する脆弱性

Title	Android における SSL 証明書の表示に関する脆弱性
Summary	Android には、SSL 証明書の表示に関する脆弱性が存在します。 Android には、外部サイトのコンテンツを読み込むウェブサイトの SSL 証明書を表示する際、外部サイトの SSL 証明書を表示してしまう脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社ビジネスインフォーメイションガーヴァン大谷周平氏
Possible impacts	安全なサイトにアクセスしていると誤認してしまい、フィッシング詐欺などの被害を受ける可能性があります。
Solution	[モバイル端末開発者向けの対策] Google が提供する情報をもとにアップデートを行ってください。 [モバイル端末ユーザ向けの対策] 詳しくは、下記「ベンダ情報」をご確認ください。なお、本脆弱性は Android OS 2.2 で対策されています。
Publication Date	July 29, 2011, midnight
Registration Date	July 29, 2011, 12:02 p.m.
Last Update	May 19, 2014, 5:18 p.m.

Affected System

Google

Android 2.2 より前のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-4832	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4832
National Vulnerability Database (NVD)
2	CVE-2010-4832	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-4832

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Android
1	b/2511635 Browser displays incorrect SSL cert information	http://android.git.kernel.org/?p=platform/frameworks/base.git;a=commit;h=dba8cb76371960457e91b31fa396478f809a5a34
Panasonic
2	ソフトウェアダウンロード	http://panasonic.jp/support/viera_1/download/me970.html
3	ソフトウェアダウンロード	http://panasonic.jp/support/viera_1/download/index2.html

その他

No	Name	URL
JVN
1	JVN#43105011	http://jvn.jp/jp/JVN43105011/
関連文書
2	b/2511635 Browser displays incorrect SSL cert information	https://gitorious.org/atrix-aosp/frameworks_base/commit/dba8cb76371960457e91b31fa396478f809a5a34

Change Log

No	Changed Details	Date of change
0	[2011年07月29日] 掲載 [2011年08月15日] ベンダ情報：パナソニック株式会社 (ソフトウェアダウンロード) を追加 [2014年05月19日] 参考情報：National Vulnerability Database (NVD) (CVE-2010-4832) を追加参考情報：関連文書 (b/2511635 Browser displays incorrect SSL cert information) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2010-4832

Summary	Android OS before 2.2 does not display the correct SSL certificate in certain cases, which might allow remote attackers to spoof trusted web sites via a web page containing references to external sources in which (1) the certificate of the last loaded resource is checked, instead of for the main page, or (2) later certificates are not checked when the HTTPS connection is reused.
Publication Date	May 14, 2014, 9:55 a.m.
Registration Date	Jan. 29, 2021, 11:10 a.m.
Last Update	Nov. 21, 2024, 10:21 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://android.git.kernel.org/?p=platform/frameworks/base.git%3Ba=commit%3Bh=dba8cb76371960457e91b31fa396478f809a5a34
2	http://jvn.jp/en/jp/JVN43105011/index.html
3	http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-000053.html
4	https://gitorious.org/atrix-aosp/frameworks_base/commit/dba8cb76371960457e91b31fa396478f809a5a34
5	http://android.git.kernel.org/?p=platform/frameworks/base.git%3Ba=commit%3Bh=dba8cb76371960457e91b31fa396478f809a5a34
6	https://gitorious.org/atrix-aosp/frameworks_base/commit/dba8cb76371960457e91b31fa396478f809a5a34
7	http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-000053.html
8	http://jvn.jp/en/jp/JVN43105011/index.html

Common Vulnerabilities List