Google Chrome の拡張サブシステムにおける意図しないリソースをロードされる脆弱性
| Title |
Google Chrome の拡張サブシステムにおける意図しないリソースをロードされる脆弱性
|
| Summary |
Google Chrome の拡張サブシステムは、Object.prototype へのアクセスを適切に制限しないため、意図しないリソースをロードされ、その結果、意図しない JavaScript 関数の呼び出しを誘発され、同一生成元ポリシーを回避される脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html
|
| Possible impacts |
第三者により、間接的な遮断攻撃 (indirect interception attack) を介して、意図しないリソースをロードされ、その結果、意図しない JavaScript 関数の呼び出しを誘発され、同一生成元ポリシーを回避される可能性があります。 |
| Solution |
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
Sept. 13, 2016, midnight |
| Registration Date |
Sept. 28, 2016, 6:12 p.m. |
| Last Update |
Sept. 28, 2016, 6:12 p.m. |
|
CVSS3.0 : 重要
|
| Score |
7.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L |
|
CVSS2.0 : 警告
|
| Score |
6.8
|
| Vector |
AV:N/AC:M/Au:N/C:P/I:P/A:P |
Affected System
| Google |
|
Google Chrome 53.0.2785.113 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2016年09月28日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2016-5173
| Summary |
The extensions subsystem in Google Chrome before 53.0.2785.113 does not properly restrict access to Object.prototype, which allows remote attackers to load unintended resources, and consequently trigger unintended JavaScript function calls and bypass the Same Origin Policy via an indirect interception attack.
|
| Publication Date |
Sept. 26, 2016, 5:59 a.m. |
| Registration Date |
Jan. 26, 2021, 2:13 p.m. |
| Last Update |
Nov. 21, 2024, 11:53 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:google:chrome:*:*:*:*:*:*:*:* |
|
53.0.2785.101 |
|
|
Related information, measures and tools
Common Vulnerabilities List