本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

KLA10757
Google Chromeの複数の脆弱性
更新日: 07/05/2018
検出日
?
02/09/2016
危険度
?
重要
説明

Google Chromeでは複数の重大な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を悪用してサービス拒否を引き起こしたり、セキュリティ制限を回避する可能性があります。

以下は、脆弱性の完全なリストです

  1. 開発者ツールでのURLスキーム検証の欠如は、特別に設計されたURLを介してリモートから悪用され、セキュリティ制限を回避できます。
  2. PDFiumでの誤算は、特別に設計されたPDFを使用してリモートから悪用され、サービス拒否を引き起こす可能性があります。
  3. Chromeインスタントの制限の不備は、セキュリティの制限を回避するためにリモートから悪用される可能性があります。
  4. Brotliの整数アンダーフローは、特別に設計されたデータを介してリモートから悪用され、サービス拒否を引き起こす可能性があります。
  5. DOM実装におけるフレーム操作制限の欠如は、特別に設計されたWebサイトを経由してセキュリティ制限をバイパスするためにリモートから利用することができます。
  6. 拡張機能の制限の不備は、特別に設計されたJavaScriptコードを介してリモートから悪用され、セキュリティ制限を回避できます。

技術的な詳細

ブラウザ/ devtools / devtools_ui_bindings.ccおよびWebKit / Source / devtools / front_end / Runtime.jsに関連する脆弱性(1)。これは、remoteBaseパラメータがchrome-devtools-frontend.appspot.comの URLに関連付けられていることを保証しません。

(2)特定の層指標値を誤って計算OpenJPEGpi.copj_pi_update_decode_poc機能に関連する脆弱性。この誤算は、範囲外の読み込みにつながる可能性があります。

脆弱性(3)は、新しいタブページのナビゲーション対象が最も訪問されたまたは提案されたリストにあり、 instant_service.ccおよびsearch_tab_helper.ccに関連していることを確認なかったために発生ます。

脆弱性(4)dec / decode.cの ProcessCommandsInternal関数に関連し、brotli圧縮によるデータを介して悪用される可能性があります。

FrameLoader.cppHTMLFrameOwnerElement.hLocalFrame.cpp 、およびWebLocalFrameImpl.cppに関連する脆弱性(5)は、フレームデタッチ操作中またはフレームデタッチ操作後に発生するフレームアタッチ操作を適切に制限しません。この脆弱性を悪用すると、同一原点ポリシーがバイパスされる可能性があります。

Object.definePropertyメソッドが意図した拡張動作を無効にしないことによって引き起こされる脆弱性(6) 。この脆弱性の悪用は、同じ発信元ポリシーに違反します。

影響を受ける製品

48.0.2564.109より前のバージョンのGoogle Chrome

解決法

最新バージョンに更新してください。 old_chromeという名前のファイルは、更新後も引き続き検出されます。更新プログラムのインストール時に古いバージョンを削除しないGoogle Chromeの更新ポリシーが原因です。追加の削除手順については、ベンダーに連絡してください。また、この種のアラートは、自己責任で無視してください。
Chromeを入手する

オリジナル勧告

Google Chrome Releases Blog entry

影響
?
SB 
[?]

DoS 
[?]
関連製品
Google Chrome
CVE-IDS
?

CVE-2016-1622
CVE-2016-1623
CVE-2016-1624
CVE-2016-1625
CVE-2016-1626
CVE-2016-1627


オリジナルへのリンク