| タイトル | Google Gears の WorkerPool API における同一送信元ポリシーを回避される脆弱性 |
|---|---|
| 概要 | Google Gears の WorkerPool API には、同一送信元ポリシーおよび allowCrossOrigin 関数のアクセス制限を回避される脆弱性が存在します。 |
| 想定される影響 | 第三者により、ターゲットドメイン上に Google Gear コマンドを含む安全と思わせるファイルをホスティングし、攻撃ドメインからファイルにアクセスすることで、レスポンスヘッダがチェックされずにワーカーコードがターゲットドメイン内で起動する状態を誘発し、同一送信元ポリシーおよび allowCrossOrigin 関数のアクセス制限を回避される可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2009年3月24日0:00 |
| 登録日 | 2012年6月26日16:10 |
| 最終更新日 | 2012年6月26日16:10 |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| gears 0.5.4.2 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年06月26日] 掲載 |
2018年2月17日10:37 |
| 概要 | Cross-domain vulnerability in the WorkerPool API in Google Gears before 0.5.4.2 allows remote attackers to bypass the Same Origin Policy and the intended access restrictions of the allowCrossOrigin function by hosting an assumed-safe file type containing Google Gear commands on the target domain, then accessing that file from the attacking domain, whose response headers are not checked and cause the worker code to run in the target domain. |
|---|---|
| 公表日 | 2009年3月24日23:30 |
| 登録日 | 2021年1月29日13:50 |
| 最終更新日 | 2017年8月17日10:29 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:google:gears:0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:google:gears:0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:google:gears:0.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:google:gears:0.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:google:gears:*:*:*:*:*:*:*:* | 0.5 | ||||