| タイトル | Google Toolbar の Custom Button Installer ダイアログにおけるドメインを偽装される脆弱性 |
|---|---|
| 概要 | Google Toolbar の Custom Button Installer ダイアログは、(1) "ダウンロード元" および (2) " プライバシーに関して" のセクション内の特定のドメイン名を検証せずに表示するため、ドメイン名を偽造される、および XML ファイルの悪質なボタンをインストールされる脆弱性が存在します。 |
| 想定される影響 | 第三者により、ドメイン名を偽造される、および XML ファイルの悪質なボタンをインストールされる可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2007年12月27日0:00 |
| 登録日 | 2012年6月26日15:54 |
| 最終更新日 | 2012年6月26日15:54 |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| toolbar 4 および 5 beta |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年06月26日] 掲載 |
2018年2月17日10:37 |
| 概要 | The Custom Button Installer dialog in Google Toolbar 4 and 5 beta presents certain domain names in the (1) "Downloaded from" and (2) "Privacy considerations" sections without verifying domain names, which makes it easier for remote attackers to spoof domain names and trick users into installing malicious button XML files, as demonstrated by presenting www.google.com when the button was downloaded from an arbitrary site through an open redirector on www.google.com. |
|---|---|
| 公表日 | 2007年12月28日8:46 |
| 登録日 | 2021年1月29日14:25 |
| 最終更新日 | 2018年10月16日6:55 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:google:toolbar:4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:google:toolbar:5:beta:*:*:*:*:*:* | |||||