NVD Vulnerability Detail

CVE-2011-3640

Summary	Untrusted search path vulnerability in Mozilla Network Security Services (NSS), as used in Google Chrome before 17 on Windows and Mac OS X, might allow local users to gain privileges via a Trojan horse pkcs11.txt file in a top-level directory. NOTE: the vendor's response was "Strange behavior, but we're not treating this as a security bug."
Publication Date	Oct. 28, 2011, 11:49 a.m.
Registration Date	Jan. 28, 2021, 4:39 p.m.
Last Update	Nov. 21, 2024, 10:30 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://blog.acrossecurity.com/2011/10/google-chrome-pkcs11txt-file-planting.html	Exploit Third Party Advisory
2	http://code.google.com/p/chromium/issues/detail?id=97426	Exploit Issue Tracking Patch Vendor Advisory
3	http://securityreason.com/securityalert/8483	Third Party Advisory
4	https://bugzilla.mozilla.org/show_bug.cgi?id=641052	Issue Tracking Patch Third Party Advisory
5	https://hermes.opensuse.org/messages/13154861	Broken Link
6	https://hermes.opensuse.org/messages/13155432	Broken Link
7	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A13414	Third Party Advisory
8	http://blog.acrossecurity.com/2011/10/google-chrome-pkcs11txt-file-planting.html	Exploit Third Party Advisory
9	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A13414	Third Party Advisory
10	https://hermes.opensuse.org/messages/13155432	Broken Link
11	https://hermes.opensuse.org/messages/13154861	Broken Link
12	https://bugzilla.mozilla.org/show_bug.cgi?id=641052	Issue Tracking Patch Third Party Advisory
13	http://securityreason.com/securityalert/8483	Third Party Advisory
14	http://code.google.com/p/chromium/issues/detail?id=97426	Exploit Issue Tracking Patch Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-426	信頼性のない検索パス	https://cwe.mitre.org/data/definitions/426.html

JVN Vulnerability Information

Windows および Mac OS X 上で稼働する Google Chrome で使用される Mozilla Network Security Services における権限を取得される脆弱性

Title	Windows および Mac OS X 上で稼働する Google Chrome で使用される Mozilla Network Security Services における権限を取得される脆弱性
Summary	未確定本件は、脆弱性として確定していません。 Windows および Mac OS X 上で稼働する Google Chrome で使用される Mozilla Network Security Services (NSS) には、検索パスに関する処理に不備があるため、権限を取得される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-426: Untrusted Search Path (信頼性のない検索パス) と識別されています。 http://cwe.mitre.org/data/definitions/426.html なお、ベンダは、以下のように回答しています。「おかしな挙動ではあるが、セキュリティバグとは考えていない。」
Possible impacts	ローカルユーザにより、トップレベルディレクトリのトロイの木馬の pkcs11.txt ファイルを介して、権限を取得される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Sept. 21, 2011, midnight
Registration Date	July 29, 2019, 12:41 p.m.
Last Update	July 29, 2019, 12:41 p.m.

Affected System

Mozilla Foundation

Mozilla Network Security Services (NSS)

Google

Google Chrome 17 未満 (Windows/Mac OS X)

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-3640	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3640
National Vulnerability Database (NVD)
2	CVE-2011-3640	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3640

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Google Code
1	Issue 97426	https://code.google.com/p/chromium/issues/detail?id=97426
Mozilla Bugzilla
2	Bug 641052	https://bugzilla.mozilla.org/show_bug.cgi?id=641052

Change Log

No	Changed Details	Date of change
1	[2019年07月29日] 掲載	July 29, 2019, 12:41 p.m.