製品・ソフトウェアに関する情報

JVN脆弱性詳細

Google Chrome で使用される Blink の V8 バインディングにおける同一生成元ポリシーを回避される脆弱性

タイトル	Google Chrome で使用される Blink の V8 バインディングにおける同一生成元ポリシーを回避される脆弱性
概要	Google Chrome で使用される Blink の V8 バインディングの bindings/core/v8/V8ThrowException.cpp の V8ThrowException::createDOMException 関数は、例外をスローしている間、フレームのアクセス制限を適切に考慮しないため、同一生成元ポリシーを回避される脆弱性が存在します。
想定される影響	第三者により、巧妙に細工された Web サイトを介して、同一生成元ポリシーを回避される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年2月4日0:00
登録日	2015年2月12日13:43
最終更新日	2015年2月25日18:00

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:P/A:N

影響を受けるシステム

Google

Google Chrome 40.0.2214.109 未満 (Android)

Google Chrome 40.0.2214.111 未満 (Windows/Macintosh/Linux)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-1210	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1210
National Vulnerability Database (NVD)
2	CVE-2015-1210	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1210

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
Chromium
1	Revision 189365	https://src.chromium.org/viewvc/blink?revision=189365&view=revision
Google
2	Chrome for Android Update	http://googlechromereleases.blogspot.jp/2015/02/chrome-for-android-update.html
3	Google Chrome	https://www.google.com/intl/ja/chrome/browser/features.html
4	Stable Channel Update	http://googlechromereleases.blogspot.jp/2015/02/stable-channel-update.html
Red Hat Security Advisory
5	RHSA-2015:0163	http://rhn.redhat.com/errata/RHSA-2015-0163.html

変更履歴

No	変更内容	変更日
0	[2015年02月12日] 掲載 [2015年02月25日] ベンダ情報：レッドハット (RHSA-2015:0163) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2015-1210

概要	The V8ThrowException::createDOMException function in bindings/core/v8/V8ThrowException.cpp in the V8 bindings in Blink, as used in Google Chrome before 40.0.2214.111 on Windows, OS X, and Linux and before 40.0.2214.109 on Android, does not properly consider frame access restrictions during the throwing of an exception, which allows remote attackers to bypass the Same Origin Policy via a crafted web site.
公表日	2015年2月6日20:59
登録日	2021年1月26日14:45
最終更新日	2024年11月21日11:24

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:google:chrome::::::android::*					40.0.2214.109

構成2		以上	以下	より上	未満
cpe:2.3:a:google:chrome::::::::					40.0.2214.111
実行環境
1	cpe:2.3:o:apple:macos:-:::::::*
2	cpe:2.3:o:linux:linux_kernel:-:::::::*
3	cpe:2.3:o:microsoft:windows:-:::::::*

構成3	以上	以下	より上	未満
cpe:2.3:o:canonical:ubuntu_linux:14.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:14.04::::esm:::

構成4	以上	以下	より上	未満
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.6:::::::*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_eus:6.6:::::::*

構成5	以上	以下	より上	未満
cpe:2.3:o:opensuse:opensuse:13.1:::::::*
cpe:2.3:o:opensuse:opensuse:13.2:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://googlechromereleases.blogspot.com/2015/02/chrome-for-android-update.html
2	http://googlechromereleases.blogspot.com/2015/02/chrome-for-android-update.html
3	http://googlechromereleases.blogspot.com/2015/02/stable-channel-update.html
4	http://googlechromereleases.blogspot.com/2015/02/stable-channel-update.html
5	http://lists.opensuse.org/opensuse-security-announce/2015-03/msg00005.html
6	http://lists.opensuse.org/opensuse-security-announce/2015-03/msg00005.html
7	http://rhn.redhat.com/errata/RHSA-2015-0163.html
8	http://rhn.redhat.com/errata/RHSA-2015-0163.html
9	http://secunia.com/advisories/62670
10	http://secunia.com/advisories/62670
11	http://secunia.com/advisories/62818
12	http://secunia.com/advisories/62818
13	http://secunia.com/advisories/62917
14	http://secunia.com/advisories/62917
15	http://secunia.com/advisories/62925
16	http://secunia.com/advisories/62925
17	http://security.gentoo.org/glsa/glsa-201502-13.xml
18	http://security.gentoo.org/glsa/glsa-201502-13.xml
19	http://www.securityfocus.com/bid/72497
20	http://www.securityfocus.com/bid/72497
21	http://www.securitytracker.com/id/1031709
22	http://www.securitytracker.com/id/1031709
23	http://www.ubuntu.com/usn/USN-2495-1
24	http://www.ubuntu.com/usn/USN-2495-1
25	https://code.google.com/p/chromium/issues/detail?id=453979
26	https://code.google.com/p/chromium/issues/detail?id=453979
27	https://exchange.xforce.ibmcloud.com/vulnerabilities/100716
28	https://exchange.xforce.ibmcloud.com/vulnerabilities/100716
29	https://src.chromium.org/viewvc/blink?revision=189365&view=revision
30	https://src.chromium.org/viewvc/blink?revision=189365&view=revision

共通脆弱性一覧