Kaspersky Threats

検出日

?

09/13/2016

危険度

?

重要

説明

Google Chromeでは複数の重大な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を悪用してサービス拒否を引き起こしたり、機密情報を入手したり、セキュリティ制限を回避することができます。

以下は、脆弱性の完全なリストです

IPCメッセージ制限の欠如は、特別に設計されたメッセージを介してリモートから悪用され、サービス拒否を引き起こす可能性があります。
複数の未知の脆弱性を悪用してサービス拒否を引き起こす可能性があります。
フルスクリーン制限の欠如は、特別に設計されたコンテンツを介してリモートから悪用され、サービス拒否を引き起こす可能性があります。
エクステンションサブシステムでのアクセス制限の欠如は、インターセプト攻撃を介してリモートから悪用され、セキュリティ制限を回避できます。
Google V8での不適切なスコープ処理は、特別に設計されたJavaScriptコードを使用してリモートから悪用され、機密情報を取得することができます。
Blinkでのコール制限の欠如は、特別に設計されたJavaScriptを使用してリモートから悪用され、サービス拒否を引き起こす可能性があります。
Blinkでの不適切な配列キー変換は、特別に設計されたIndexedDB APIコールを介してリモートから悪用され、サービス拒否を引き起こす可能性があります。

技術的な詳細

render_frame_host_impl.ccおよびrender_widget_host_impl.ccに関連する脆弱性（1）は、特定のIPCメッセージの受信者が有効なRenderFrameまたはRenderWidgetであることを保証しません。

ブラウザ/ ui / cocoa / browser_window_controller_private.mmに関連する脆弱性（3） 。全画面遷移中に全画面トグル要求を処理しません。

Object.prototypeへのアクセス制限がないために発生した脆弱性（4） 。この脆弱性により、意図しないリソースが読み込まれ、意図しないJavaScript関数呼び出しが発生し、同じOriginポリシーをバイパスできます。

脆弱性（6）はWebKit / Source / bindings / templates / interface.cppに関連しており、特定のコンストラクタ呼び出しを妨げません。

脆弱性（7）はWebKit / Source / bindings / modules / v8 / V8BindingForModules.cppに関連しており、配列キー変換時にゲッターの副作用を適切に考慮していません。

影響を受ける製品

53.0.2485.113より前のGoogle Chromeのバージョン（すべてのブランチ）

解決法

最新バージョンに更新してください。 old_chromeという名前のファイルは、更新後も引き続き検出されます。更新プログラムのインストール時に古いバージョンを削除しないGoogle Chromeの更新ポリシーが原因です。追加の削除手順については、ベンダーに連絡してください。また、この種のアラートは、自己責任で無視してください。
Google Chromeを入手

オリジナル勧告

Google Chrome releases blog

影響

?

OSI

[?]

SB

[?]

DoS

[?]

CVE-IDS

?

CVE-2016-5170
CVE-2016-5171
CVE-2016-5172
CVE-2016-5173
CVE-2016-5174
CVE-2016-5175
CVE-2016-7549

オリジナルへのリンク

お住まいの地域に広がる脆弱性の統計をご覧ください

検出日 ?	09/13/2016
危険度 ?	重要
説明	Google Chromeでは複数の重大な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を悪用してサービス拒否を引き起こしたり、機密情報を入手したり、セキュリティ制限を回避することができます。以下は、脆弱性の完全なリストです IPCメッセージ制限の欠如は、特別に設計されたメッセージを介してリモートから悪用され、サービス拒否を引き起こす可能性があります。複数の未知の脆弱性を悪用してサービス拒否を引き起こす可能性があります。フルスクリーン制限の欠如は、特別に設計されたコンテンツを介してリモートから悪用され、サービス拒否を引き起こす可能性があります。エクステンションサブシステムでのアクセス制限の欠如は、インターセプト攻撃を介してリモートから悪用され、セキュリティ制限を回避できます。 Google V8での不適切なスコープ処理は、特別に設計されたJavaScriptコードを使用してリモートから悪用され、機密情報を取得することができます。 Blinkでのコール制限の欠如は、特別に設計されたJavaScriptを使用してリモートから悪用され、サービス拒否を引き起こす可能性があります。 Blinkでの不適切な配列キー変換は、特別に設計されたIndexedDB APIコールを介してリモートから悪用され、サービス拒否を引き起こす可能性があります。技術的な詳細 render_frame_host_impl.ccおよびrender_widget_host_impl.ccに関連する脆弱性（1）は、特定のIPCメッセージの受信者が有効なRenderFrameまたはRenderWidgetであることを保証しません。ブラウザ/ ui / cocoa / browser_window_controller_private.mmに関連する脆弱性（3）。全画面遷移中に全画面トグル要求を処理しません。 Object.prototypeへのアクセス制限がないために発生した脆弱性（4）。この脆弱性により、意図しないリソースが読み込まれ、意図しないJavaScript関数呼び出しが発生し、同じOriginポリシーをバイパスできます。脆弱性（6）はWebKit / Source / bindings / templates / interface.cppに関連しており、特定のコンストラクタ呼び出しを妨げません。脆弱性（7）はWebKit / Source / bindings / modules / v8 / V8BindingForModules.cppに関連しており、配列キー変換時にゲッターの副作用を適切に考慮していません。
影響を受ける製品	53.0.2485.113より前のGoogle Chromeのバージョン（すべてのブランチ）
解決法	最新バージョンに更新してください。 old_chromeという名前のファイルは、更新後も引き続き検出されます。更新プログラムのインストール時に古いバージョンを削除しないGoogle Chromeの更新ポリシーが原因です。追加の削除手順については、ベンダーに連絡してください。また、この種のアラートは、自己責任で無視してください。 Google Chromeを入手
オリジナル勧告	Google Chrome releases blog
影響 ?	OSI [?] SB [?] DoS [?]
CVE-IDS ?	CVE-2016-5170 CVE-2016-5171 CVE-2016-5172 CVE-2016-5173 CVE-2016-5174 CVE-2016-5175 CVE-2016-7549
	オリジナルへのリンク
	お住まいの地域に広がる脆弱性の統計をご覧ください

KLA10869Google Chromeの複数の脆弱性

KLA10869
Google Chromeの複数の脆弱性