NVD脆弱性詳細

CVE-2011-3640

概要	Untrusted search path vulnerability in Mozilla Network Security Services (NSS), as used in Google Chrome before 17 on Windows and Mac OS X, might allow local users to gain privileges via a Trojan horse pkcs11.txt file in a top-level directory. NOTE: the vendor's response was "Strange behavior, but we're not treating this as a security bug."
公表日	2011年10月28日11:49
登録日	2021年1月28日16:39
最終更新日	2024年11月21日10:30

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://blog.acrossecurity.com/2011/10/google-chrome-pkcs11txt-file-planting.html	Exploit Third Party Advisory
2	http://code.google.com/p/chromium/issues/detail?id=97426	Exploit Issue Tracking Patch Vendor Advisory
3	http://securityreason.com/securityalert/8483	Third Party Advisory
4	https://bugzilla.mozilla.org/show_bug.cgi?id=641052	Issue Tracking Patch Third Party Advisory
5	https://hermes.opensuse.org/messages/13154861	Broken Link
6	https://hermes.opensuse.org/messages/13155432	Broken Link
7	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A13414	Third Party Advisory
8	http://blog.acrossecurity.com/2011/10/google-chrome-pkcs11txt-file-planting.html	Exploit Third Party Advisory
9	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A13414	Third Party Advisory
10	https://hermes.opensuse.org/messages/13155432	Broken Link
11	https://hermes.opensuse.org/messages/13154861	Broken Link
12	https://bugzilla.mozilla.org/show_bug.cgi?id=641052	Issue Tracking Patch Third Party Advisory
13	http://securityreason.com/securityalert/8483	Third Party Advisory
14	http://code.google.com/p/chromium/issues/detail?id=97426	Exploit Issue Tracking Patch Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-426	信頼性のない検索パス	https://cwe.mitre.org/data/definitions/426.html

JVN脆弱性情報

Windows および Mac OS X 上で稼働する Google Chrome で使用される Mozilla Network Security Services における権限を取得される脆弱性

タイトル	Windows および Mac OS X 上で稼働する Google Chrome で使用される Mozilla Network Security Services における権限を取得される脆弱性
概要	未確定本件は、脆弱性として確定していません。 Windows および Mac OS X 上で稼働する Google Chrome で使用される Mozilla Network Security Services (NSS) には、検索パスに関する処理に不備があるため、権限を取得される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-426: Untrusted Search Path (信頼性のない検索パス) と識別されています。 http://cwe.mitre.org/data/definitions/426.html なお、ベンダは、以下のように回答しています。「おかしな挙動ではあるが、セキュリティバグとは考えていない。」
想定される影響	ローカルユーザにより、トップレベルディレクトリのトロイの木馬の pkcs11.txt ファイルを介して、権限を取得される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2011年9月21日0:00
登録日	2019年7月29日12:41
最終更新日	2019年7月29日12:41

影響を受けるシステム

Mozilla Foundation

Mozilla Network Security Services (NSS)

Google

Google Chrome 17 未満 (Windows/Mac OS X)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-3640	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3640
National Vulnerability Database (NVD)
2	CVE-2011-3640	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3640

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Google Code
1	Issue 97426	https://code.google.com/p/chromium/issues/detail?id=97426
Mozilla Bugzilla
2	Bug 641052	https://bugzilla.mozilla.org/show_bug.cgi?id=641052

変更履歴

No	変更内容	変更日
1	[2019年07月29日] 掲載	2019年7月29日12:41