NVD脆弱性詳細

CVE-2015-1241

概要	Google Chrome before 42.0.2311.90 does not properly consider the interaction of page navigation with the handling of touch events and gesture events, which allows remote attackers to trigger unintended UI actions via a crafted web site that conducts a "tapjacking" attack.
公表日	2015年4月19日19:59
登録日	2021年1月26日14:45
最終更新日	2024年11月21日11:24

CVSS2.0 : MEDIUM
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	はい

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:google:chrome::::::::					42.0.2311.90

構成2		以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:8.0:::::::*

構成3	以上	以下	より上	未満
cpe:2.3:o:canonical:ubuntu_linux:14.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:15.04:::::::*
cpe:2.3:o:canonical:ubuntu_linux:14.04::::esm:::

構成4	以上	以下	より上	未満
cpe:2.3:o:opensuse:opensuse:13.1:::::::*
cpe:2.3:o:opensuse:opensuse:13.2:::::::*

構成5		以上	以下	より上	未満
cpe:2.3:o:suse:linux_enterprise:12.0:::::::*

構成6	以上	以下	より上	未満
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.6:::::::*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_eus:6.6:::::::*
cpe:2.3:o:redhat:enterprise_linux_server_eus:6.6:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://googlechromereleases.blogspot.com/2015/04/stable-channel-update_14.html	Release Notes
2	http://googlechromereleases.blogspot.com/2015/04/stable-channel-update_14.html	Release Notes
3	http://lists.opensuse.org/opensuse-updates/2015-04/msg00040.html	Mitigation Third Party Advisory
4	http://lists.opensuse.org/opensuse-updates/2015-04/msg00040.html	Mitigation Third Party Advisory
5	http://lists.opensuse.org/opensuse-updates/2015-11/msg00024.html	Mitigation Third Party Advisory
6	http://lists.opensuse.org/opensuse-updates/2015-11/msg00024.html	Mitigation Third Party Advisory
7	http://rhn.redhat.com/errata/RHSA-2015-0816.html	Third Party Advisory
8	http://rhn.redhat.com/errata/RHSA-2015-0816.html	Third Party Advisory
9	http://ubuntu.com/usn/usn-2570-1	Third Party Advisory
10	http://ubuntu.com/usn/usn-2570-1	Third Party Advisory
11	http://www.debian.org/security/2015/dsa-3238	Third Party Advisory
12	http://www.debian.org/security/2015/dsa-3238	Third Party Advisory
13	http://www.securitytracker.com/id/1032209	Broken Link Third Party Advisory VDB Entry
14	http://www.securitytracker.com/id/1032209	Broken Link Third Party Advisory VDB Entry
15	https://code.google.com/p/chromium/issues/detail?id=418402	Exploit Issue Tracking Vendor Advisory
16	https://code.google.com/p/chromium/issues/detail?id=418402	Exploit Issue Tracking Vendor Advisory
17	https://codereview.chromium.org/628763003	Issue Tracking Vendor Advisory
18	https://codereview.chromium.org/628763003	Issue Tracking Vendor Advisory
19	https://codereview.chromium.org/660663002	Issue Tracking Vendor Advisory
20	https://codereview.chromium.org/660663002	Issue Tracking Vendor Advisory
21	https://codereview.chromium.org/717573004	Issue Tracking Vendor Advisory
22	https://codereview.chromium.org/717573004	Issue Tracking Vendor Advisory
23	https://codereview.chromium.org/868123002	Issue Tracking Vendor Advisory
24	https://codereview.chromium.org/868123002	Issue Tracking Vendor Advisory
25	https://security.gentoo.org/glsa/201506-04	Third Party Advisory
26	https://security.gentoo.org/glsa/201506-04	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-1021	レンダリングされたユーザインターフェースレイヤまたはフレームの不適切な制限	https://cwe.mitre.org/data/definitions/1021.html

JVN脆弱性情報

Google Chrome における意図しない UI アクションを誘発される脆弱性

タイトル	Google Chrome における意図しない UI アクションを誘発される脆弱性
概要	Google Chrome は、タッチイベントおよびジェスチャーイベントの処理と、ページナビゲーションとの相互作用を適切に考慮しないため、意図しない UI アクションを誘発される脆弱性が存在します。
想定される影響	第三者により、タップジャック攻撃を実行する巧妙に細工された Web サイトを介して、意図しない UI アクションを誘発される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年4月14日0:00
登録日	2015年4月21日18:02
最終更新日	2015年4月21日18:02

影響を受けるシステム

Google

Google Chrome 42.0.2311.90 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-1241	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1241
National Vulnerability Database (NVD)
2	CVE-2015-1241	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1241

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
Chromium Code Reviews
1	Issue 628763003	https://codereview.chromium.org/628763003
2	Issue 660663002	https://codereview.chromium.org/660663002
3	Issue 717573004	https://codereview.chromium.org/717573004
4	Issue 868123002	https://codereview.chromium.org/868123002
Google
5	Google Chrome	https://www.google.com/intl/ja/chrome/browser/features.html
6	Stable Channel Update	http://googlechromereleases.blogspot.jp/2015/04/stable-channel-update_14.html

変更履歴

No	変更内容	変更日
0	[2015年04月21日] 掲載	2018年2月17日10:37

構成6	以上	以下	より上	未満
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.6:::::::*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_eus:6.6:::::::*
cpe:2.3:o:redhat:enterprise_linux_server_eus:6.6:::::::*