NVD Vulnerability Detail

CVE-2015-1270

Summary	The ucnv_io_getConverterName function in common/ucnv_io.cpp in International Components for Unicode (ICU), as used in Google Chrome before 44.0.2403.89, mishandles converter names with initial x- substrings, which allows remote attackers to cause a denial of service (read of uninitialized memory) or possibly have unspecified other impact via a crafted file.
Publication Date	July 23, 2015, 9:59 a.m.
Registration Date	Jan. 26, 2021, 2:45 p.m.
Last Update	Nov. 21, 2024, 11:25 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:google:chrome::::::::			43.0.2357.134

Configuration2	or higher	or less	more than	less than
cpe:2.3:o:redhat:enterprise_linux_server_supplementary_eus:6.7z:::::::*
cpe:2.3:o:redhat:enterprise_linux_desktop_supplementary:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server_supplementary:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation_supplementary:6.0:::::::*

Configuration4		or higher	or less	more than	less than
cpe:2.3:o:debian:debian_linux:8.0:::::::*

Configuration5		or higher	or less	more than	less than
cpe:2.3:o:oracle:solaris:11.3:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://googlechromereleases.blogspot.com/2015/07/stable-channel-update_21.html
2	http://googlechromereleases.blogspot.com/2015/07/stable-channel-update_21.html
3	http://lists.opensuse.org/opensuse-security-announce/2015-07/msg00038.html
4	http://lists.opensuse.org/opensuse-security-announce/2015-07/msg00038.html
5	http://rhn.redhat.com/errata/RHSA-2015-1499.html
6	http://rhn.redhat.com/errata/RHSA-2015-1499.html
7	http://www.debian.org/security/2015/dsa-3315
8	http://www.debian.org/security/2015/dsa-3315
9	http://www.debian.org/security/2015/dsa-3360
10	http://www.debian.org/security/2015/dsa-3360
11	http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.html
12	http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.html
13	http://www.securityfocus.com/bid/75973
14	http://www.securityfocus.com/bid/75973
15	http://www.securitytracker.com/id/1033031
16	http://www.securitytracker.com/id/1033031
17	http://www.ubuntu.com/usn/USN-2740-1
18	http://www.ubuntu.com/usn/USN-2740-1
19	https://chromium.googlesource.com/chromium/deps/icu/+/f1ad7f9ba957571dc692ea3e187612c685615e19
20	https://chromium.googlesource.com/chromium/deps/icu/+/f1ad7f9ba957571dc692ea3e187612c685615e19
21	https://code.google.com/p/chromium/issues/detail?id=444573
22	https://code.google.com/p/chromium/issues/detail?id=444573
23	https://codereview.chromium.org/1157143002/
24	https://codereview.chromium.org/1157143002/
25	https://security.gentoo.org/glsa/201603-09
26	https://security.gentoo.org/glsa/201603-09

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-19	データ処理	https://cwe.mitre.org/data/definitions/19.html

JVN Vulnerability Information

Google Chrome で使用される International Components for Unicode におけるサービス運用妨害 (DoS) の脆弱性

Title	Google Chrome で使用される International Components for Unicode におけるサービス運用妨害 (DoS) の脆弱性
Summary	Google Chrome で使用される International Components for Unicode (ICU) の common/ucnv_io.cpp の ucnv_io_getConverterName 関数は、x- で始まる文字列を持つコンバータ名を正しく処理しないため、サービス運用妨害 (初期化されていないメモリの読み込み) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-19: Data Handling (データ処理) と識別されています。 http://cwe.mitre.org/data/definitions/19.html
Possible impacts	第三者により、巧妙に細工されたファイルを介して、サービス運用妨害 (初期化されていないメモリの読み込み) 状態にされるなど、不特定の影響を受ける可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	July 21, 2015, midnight
Registration Date	July 27, 2015, 1:53 p.m.
Last Update	Nov. 20, 2015, 4:40 p.m.

Affected System

Google

Google Chrome 44.0.2403.89 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-1270	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1270
National Vulnerability Database (NVD)
2	CVE-2015-1270	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1270

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Chromium
1	chromium / chromium/deps/icu / f1ad7f9ba957571dc692ea3e187612c685615e19	https://chromium.googlesource.com/chromium/deps/icu/+/f1ad7f9ba957571dc692ea3e187612c685615e19
Chromium Code Reviews
2	Issue 1157143002	https://codereview.chromium.org/1157143002/
Google
3	Google Chrome	https://www.google.com/intl/ja/chrome/browser/features.html
4	Stable Channel Update	http://googlechromereleases.blogspot.jp/2015/07/stable-channel-update_21.html
Oracle Technology Network
5	Oracle Solaris Third Party Bulletin - October 2015	http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.html
Red Hat Security Advisory
6	RHSA-2015:1499	https://rhn.redhat.com/errata/RHSA-2015-1499.html

Change Log

No	Changed Details	Date of change
0	[2015年07月27日] 掲載 [2015年09月03日] ベンダ情報：レッドハット (RHSA-2015:1499) を追加 [2015年11月20日] ベンダ情報：オラクル (Oracle Solaris Third Party Bulletin - October 2015) を追加	Feb. 17, 2018, 10:37 a.m.