製品・ソフトウェアに関する情報

JVN脆弱性詳細

Google Chrome の拡張サブシステムの Chrome Web Store Inline Installation の実装におけるサービス運用妨害 (DoS) の脆弱性

Title	Google Chrome の拡張サブシステムの Chrome Web Store Inline Installation の実装におけるサービス運用妨害 (DoS) の脆弱性
Summary	Google Chrome の拡張サブシステムの Chrome Web Store Inline Installation の実装は、経過観察 (progress observation) の際、オブジェクトライフタイムを適切に考慮しないため、サービス運用妨害 (解放済みメモリの使用 (use-after-free)) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-416: Use After Free (解放済みメモリの使用) と識別されています。 http://cwe.mitre.org/data/definitions/416.html
Possible impacts	第三者により、巧妙に細工された Web サイトを介して、サービス運用妨害 (解放済みメモリの使用 (use-after-free)) 状態にされるなど、不特定の影響を受ける可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	July 20, 2016, midnight
Registration Date	July 28, 2016, 12:05 p.m.
Last Update	July 28, 2016, 12:05 p.m.

Affected System

Google

Google Chrome 52.0.2743.82 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-1708	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1708
National Vulnerability Database (NVD)
2	CVE-2016-1708	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1708

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Chromium Code Reviews
1	Issue 2103663002	https://codereview.chromium.org/2103663002
Google
2	Google Chrome	https://www.google.com/intl/ja/chrome/browser/features.html
3	Stable Channel Update	http://googlechromereleases.blogspot.com/2016/07/stable-channel-update.html

Change Log

No	Changed Details	Date of change
0	[2016年07月28日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-1708

Summary	The Chrome Web Store inline-installation implementation in the Extensions subsystem in Google Chrome before 52.0.2743.82 does not properly consider object lifetimes during progress observation, which allows remote attackers to cause a denial of service (use-after-free) or possibly have unspecified other impact via a crafted web site.
Publication Date	July 24, 2016, 4:59 a.m.
Registration Date	Jan. 26, 2021, 2:07 p.m.
Last Update	Nov. 21, 2024, 11:46 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:google:chrome::::::::			51.0.2704.106

Related information, measures and tools

No	URL	refsource	タグ
1	http://googlechromereleases.blogspot.com/2016/07/stable-channel-update.html
2	http://googlechromereleases.blogspot.com/2016/07/stable-channel-update.html
3	http://lists.opensuse.org/opensuse-security-announce/2016-07/msg00020.html
4	http://lists.opensuse.org/opensuse-security-announce/2016-07/msg00020.html
5	http://lists.opensuse.org/opensuse-security-announce/2016-07/msg00021.html
6	http://lists.opensuse.org/opensuse-security-announce/2016-07/msg00021.html
7	http://lists.opensuse.org/opensuse-security-announce/2016-07/msg00022.html
8	http://lists.opensuse.org/opensuse-security-announce/2016-07/msg00022.html
9	http://lists.opensuse.org/opensuse-security-announce/2016-07/msg00028.html
10	http://lists.opensuse.org/opensuse-security-announce/2016-07/msg00028.html
11	http://rhn.redhat.com/errata/RHSA-2016-1485.html
12	http://rhn.redhat.com/errata/RHSA-2016-1485.html
13	http://www.debian.org/security/2016/dsa-3637
14	http://www.debian.org/security/2016/dsa-3637
15	http://www.securityfocus.com/bid/92053
16	http://www.securityfocus.com/bid/92053
17	http://www.securitytracker.com/id/1036428
18	http://www.securitytracker.com/id/1036428
19	https://codereview.chromium.org/2103663002
20	https://codereview.chromium.org/2103663002
21	https://crbug.com/613949
22	https://crbug.com/613949

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-416	解放済みメモリの使用	https://cwe.mitre.org/data/definitions/416.html