製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache Cordova および Adobe PhoneGap におけるイベントベースのブリッジのデバイスリソース制限を回避される脆弱性

タイトル	Apache Cordova および Adobe PhoneGap におけるイベントベースのブリッジのデバイスリソース制限を回避される脆弱性
概要	Apache Cordova および Adobe PhoneGap には、イベントベースのブリッジのデバイスリソース制限を回避される脆弱性が存在します。
想定される影響	第三者により、IFRAME スクリプトの実行を利用され、同期を補正するための代替として OnJsPrompt ハンドラの戻り値を一定期間待機する巧妙に細工されたライブラリのクローンを介して、イベントベースのブリッジのデバイスリソース制限を回避される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2014年1月24日0:00
登録日	2014年3月4日19:32
最終更新日	2014年3月4日19:32

影響を受けるシステム

Apache Software Foundation

Apache Cordova Android 3.3.0 およびそれ以前

アドビシステムズ

PhoneGap 2.9.0 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-1881	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1881
National Vulnerability Database (NVD)
2	CVE-2014-1881	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1881

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
Adobe
1	PhoneGap デベロッパーセンター	http://www.adobe.com/jp/devnet/phonegap.html
Apache
2	Apache Cordova	https://cordova.apache.org/

その他

No	名前	URL
関連文書
1	Breaking and Fixing Origin-Based Access Control in Hybrid Web/Mobile Application Frameworks	http://www.cs.utexas.edu/~shmat/shmat_ndss14nofrak.pdf
2	Security Vulnerabilities in Apache Cordova / PhoneGap	http://seclists.org/bugtraq/2014/Jan/96

変更履歴

No	変更内容	変更日
0	[2014年03月04日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2014-1881

概要	Apache Cordova 3.3.0 and earlier and Adobe PhoneGap 2.9.0 and earlier allow remote attackers to bypass intended device-resource restrictions of an event-based bridge via a crafted library clone that leverages IFRAME script execution and waits a certain amount of time for an OnJsPrompt handler return value as an alternative to correct synchronization.
公表日	2014年3月3日13:50
登録日	2021年1月26日15:07
最終更新日	2024年11月21日11:05

影響を受けるソフトウェアの構成

No	URL	タグ
1	http://openwall.com/lists/oss-security/2014/02/07/9
2	http://openwall.com/lists/oss-security/2014/02/07/9
3	http://packetstormsecurity.com/files/124954/apachecordovaphonegap-bypass.txt
4	http://packetstormsecurity.com/files/124954/apachecordovaphonegap-bypass.txt
5	http://seclists.org/bugtraq/2014/Jan/96	Patch
6	http://seclists.org/bugtraq/2014/Jan/96	Patch
7	http://www.cs.utexas.edu/~shmat/shmat_ndss14nofrak.pdf	Exploit
8	http://www.cs.utexas.edu/~shmat/shmat_ndss14nofrak.pdf	Exploit
9	http://www.internetsociety.org/ndss2014/programme#session3
10	http://www.internetsociety.org/ndss2014/programme#session3