製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の GREE 製 Android アプリにおける WebView クラスに関する脆弱性

タイトル	複数の GREE 製 Android アプリにおける WebView クラスに関する脆弱性
概要	グリー株式会社が提供する複数の Android アプリには、WebView クラスに関する脆弱性が存在します。グリー株式会社が提供する HTML ベースのアプリ向け SDK を使用している複数の Android アプリには、WebView クラスに関する脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 三井物産セキュアディレクション株式会社寺田健氏、日本スマートフォンセキュリティ協会(JSSEC) 佐藤勝彦氏
想定される影響	ユーザが、不正な他の Android アプリケーションを使用した場合、当該製品のデータ領域にある情報が漏えいする可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
公表日	2012年8月16日0:00
登録日	2012年8月16日12:01
最終更新日	2012年8月16日12:01

影響を受けるシステム

グリー株式会社

GREE (グリー) 1.4.0 およびそれ以前

ハコニワ 1.1.0 およびそれ以前

モンプラ 1.1.1 およびそれ以前

探検ドリランド 1.0.7 およびそれ以前

海賊王国コロンブス 1.3.5 およびそれ以前

聖戦ケルベロス 1.1.0 およびそれ以前

釣り★スタ 1.5.0 およびそれ以前

KDDI&GREE

GREEマーケット 2.1.2 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-4006	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4006
National Vulnerability Database (NVD)
2	CVE-2012-4006	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4006

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Google Play
1	GREE (グリー) - Google Play の Android アプリ	https://play.google.com/store/apps/details?id=jp.gree.android.app
2	GREEマーケット - Google Play の Android アプリ	https://play.google.com/store/apps/details?id=jp.gree.android.pf.greeapp1753
3	ハコニワ - Google Play の Android アプリ	https://play.google.com/store/apps/details?id=jp.gree.android.pf.greeapp97
4	モンプラ - Google Play の Android アプリ	https://play.google.com/store/apps/details?id=jp.gree.android.pf.greeapp99
5	探検ドリランド - Google Play の Android アプリ	https://play.google.com/store/apps/details?id=jp.gree.android.pf.greeapp98
6	海賊王国コロンブス - Google Play の Android アプリ	https://play.google.com/store/apps/details?id=jp.gree.android.pf.greeapp112
7	聖戦ケルベロス - Google Play の Android アプリ	https://play.google.com/store/apps/details?id=jp.gree.android.pf.greeapp1242
8	釣り★スタ - Google Play の Android アプリ	https://play.google.com/store/apps/details?id=jp.gree.android.pf.greeapp96

その他

No	名前	URL
JVN
1	JVN#99192898	http://jvn.jp/jp/JVN99192898/index.html

変更履歴

No	変更内容	変更日
0	[2012年08月16日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-4006

概要	The GREE application before 1.4.0, GREE Tanken Dorirando application before 1.0.7, GREE Tsurisuta application before 1.5.0, GREE Monpura application before 1.1.1, GREE Kaizokuoukoku Columbus application before 1.3.5, GREE haconiwa application before 1.1.0, GREE Seisen Cerberus application before 1.1.0, and KDDI&GREE GREE Market application before 2.1.2 for Android do not properly implement the WebView class, which allows remote attackers to obtain sensitive information via a crafted application.
公表日	2012年8月18日5:55
登録日	2021年1月28日15:02
最終更新日	2024年11月21日10:42

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:gree:gree::::::::			1.3.9
cpe:2.3:a:gree:haconiwa::::::::			1.0.9
cpe:2.3:a:gree:kaizokuoukoku_columbus::::::::			1.3.4
cpe:2.3:a:gree:monpura::::::::			1.1.0
cpe:2.3:a:gree:seisen_cerberus::::::::			1.0.9
cpe:2.3:a:gree:tanken_dorirando::::::::			1.0.6
cpe:2.3:a:gree:tsurisuta::::::::			1.4.9
cpe:2.3:a:kddi_\&_gree:gree_market::::::::			2.1.1
実行環境
1	cpe:2.3:o:google:android::::::::

No	URL	タグ
1	http://jvn.jp/en/jp/JVN99192898/index.html	Vendor Advisory
2	http://jvn.jp/en/jp/JVN99192898/index.html	Vendor Advisory
3	http://jvndb.jvn.jp/jvndb/JVNDB-2012-000077	Vendor Advisory
4	http://jvndb.jvn.jp/jvndb/JVNDB-2012-000077	Vendor Advisory