製品・ソフトウェアに関する情報

JVN脆弱性詳細

Android API における Java オブジェクトの任意のメソッドを実行される脆弱性

Title	Android API における Java オブジェクトの任意のメソッドを実行される脆弱性
Summary	Android API は、WebView.addJavascriptInterface メソッドを適切に制限しないため、Java オブジェクトの任意のメソッドを実行される脆弱性が存在します。本脆弱性は、CVE-2013-4710 と関連する問題です。
Possible impacts	第三者により、API レベル 16 以前が対象のアプリケーションの WebView コンポーネントに読み込まれる、巧妙に細工された JavaScript コードの Java Reflection API を使用されることで、Java オブジェクトの任意のメソッドを実行される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Feb. 7, 2014, midnight
Registration Date	March 4, 2014, 5:49 p.m.
Last Update	March 4, 2014, 5:49 p.m.

Affected System

Google

Android API 17 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-6636	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6636
National Vulnerability Database (NVD)
2	CVE-2012-6636	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6636

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
Android Developers
1	public static final int JELLY_BEAN_MR1	http://developer.android.com/reference/android/os/Build.VERSION_CODES.html#JELLY_BEAN_MR1
2	public void addJavascriptInterface (Object object, String name)	http://developer.android.com/reference/android/webkit/WebView.html#addJavascriptInterface%28java.lang.Object,%20java.lang.String%29

その他

No	Name	URL
関連文書
1	Re: CVE request: multiple issues in Apache Cordova/PhoneGap	http://openwall.com/lists/oss-security/2014/02/07/9

Change Log

No	Changed Details	Date of change
0	[2014年03月04日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2012-6636

Summary	The Android API before 17 does not properly restrict the WebView.addJavascriptInterface method, which allows remote attackers to execute arbitrary methods of Java objects by using the Java Reflection API within crafted JavaScript code that is loaded into the WebView component in an application targeted to API level 16 or earlier, a related issue to CVE-2013-4710.
Publication Date	March 3, 2014, 1:50 p.m.
Registration Date	Jan. 28, 2021, 3:08 p.m.
Last Update	Nov. 21, 2024, 10:46 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://50.56.33.56/blog/?p=314
2	http://50.56.33.56/blog/?p=314
3	http://developer.android.com/reference/android/os/Build.VERSION_CODES.html#JELLY_BEAN_MR1
4	http://developer.android.com/reference/android/os/Build.VERSION_CODES.html#JELLY_BEAN_MR1
5	http://developer.android.com/reference/android/webkit/WebView.html#addJavascriptInterface%28java.lang.Object%2C%20java.lang.String%29
6	http://developer.android.com/reference/android/webkit/WebView.html#addJavascriptInterface%28java.lang.Object%2C%20java.lang.String%29
7	http://jvn.jp/en/jp/JVN62161191/index.html
8	http://jvn.jp/en/jp/JVN62161191/index.html
9	http://openwall.com/lists/oss-security/2014/02/07/9
10	http://openwall.com/lists/oss-security/2014/02/07/9
11	http://www.cs.utexas.edu/~shmat/shmat_ndss14nofrak.pdf	Exploit
12	http://www.cs.utexas.edu/~shmat/shmat_ndss14nofrak.pdf	Exploit
13	http://www.internetsociety.org/ndss2014/programme#session3
14	http://www.internetsociety.org/ndss2014/programme#session3
15	https://support.lenovo.com/us/en/product_security/len_6421
16	https://support.lenovo.com/us/en/product_security/len_6421

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html