本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

KLA11129
Google Chromeの複数の脆弱性
更新日: 07/05/2018
検出日
?
07/25/2017
危険度
?
重要
説明

Google Chromeでは複数の重大な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を利用してサービス拒否、セキュリティ制限の迂回、ユーザーインターフェイスの偽装、任意のコードの実行、特権のエスカレート、機密情報の取得、クロスサイトスクリプティング攻撃の実行を行うことができます。

以下に、脆弱性の完全な一覧を示します。

  1. IndexedDBコンポーネントで無料で使用すると、認証されていない攻撃者によってリモートから悪用され、サービス妨害を引き起こす可能性があります。
  2. PPAPIの信頼できない入力の検証が不十分プラグインコンポーネントは、認証されていない攻撃者によってセキュリティの制限をバイパスするためにリモートから悪用される可能性があります。
  3. Blinkコンポーネントのモーダルダイアログ処理における不適切な実装は、認証されていない攻撃者によってリモートから利用され、ユーザーインターフェイスを偽装することができます。
  4. 拡張機能の型混乱JavaScriptは、認証されていない攻撃者がセキュリティ制限を回避するためにリモートから悪用される可能性があります。
  5. PDFiumコンポーネントのスタックオーバーフローは、認証されていない攻撃者が任意のコードを実行するためにリモートから悪用される可能性があります。
  6. ナビゲーション中の不十分なポリシー施行は、認証されていない攻撃者によってリモートから悪用され、汎用のクロスサイトスクリプティング攻撃を実行できます。
  7. Skiaコンポーネントの信頼できない入力の検証が不十分であると、認証されていない攻撃者がサービス拒否を引き起こす可能性があります。
  8. V8コンポーネントのフリー後の使用は、認証されていない攻撃者によってリモートから悪用され、サービス拒否を引き起こす可能性があります。
  9. PPAPIプラグインコンポーネントの信頼できない入力の検証が不十分であると、認証されていない攻撃者がリモートから権限を昇格させることができます。
  10. Appsコンポーネントで無料で使用すると、認証されていない攻撃者によってリモートから悪用され、サービス拒否が発生する可能性があります。
  11. Omniboxコンポーネントの不適切な実装は、認証されていない攻撃者がリモートからユーザーインターフェイスを偽装するために悪用される可能性があります。
  12. Skiaコンポーネントで初期化されていない値を使用すると、認証されていない攻撃者がリモートから機密情報を取得することができます。
  13. インタースティシャルでの不適切な実装は、認証されていない攻撃者がユーザーインターフェースを偽装するためにリモートから悪用される可能性があります。
  14. 不十分なポリシーの強制Omniboxコンポーネントは、認証されていない攻撃者によってリモートからユーザーインターフェイスを偽装するために悪用される可能性があります。
  15. SVGレンダリングでのタイミング攻撃は、認証されていない攻撃者によってリモートから悪用され、汎用のクロスサイトスクリプティング攻撃を実行できます。
  16. PDFiumコンポーネントのタイプ混乱は、認証されていない攻撃者がセキュリティ制限を回避するためにリモートから悪用される可能性があります。
  17. アクセス許可プロンプトでのアンロードハンドラ処理の不適切な実装は、認証されていない攻撃者によってリモートからユーザーインターフェイスを偽装するために悪用される可能性があります。
  18. blob:and data:Web PaymentsコンポーネントのWebペイメントAPIの不適切な実装は、認証されていない攻撃者がリモートでユーザーインターフェイスを偽装することによって悪用される可能性があります。

技術的な詳細

注:この脆弱性には公開CVSSの格付けがないため、格付けは時間によって変更することができます。

影響を受ける製品

60.0.3112.78より前のGoogle Chromeのバージョン

解決法

最新バージョンへのアップデート
グーグルクロームをダウンロード

オリジナル勧告

Stable Channel Update for Desktop

影響
?
SUI 
[?]

ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
関連製品
Google Chrome
CVE-IDS
?

CVE-2017-5110
CVE-2017-5109
CVE-2017-5108
CVE-2017-5107
CVE-2017-5106
CVE-2017-5105
CVE-2017-5104
CVE-2017-5103
CVE-2017-5102
CVE-2017-5101
CVE-2017-5100
CVE-2017-5099
CVE-2017-5098
CVE-2017-5097
CVE-2017-5096
CVE-2017-5095
CVE-2017-5094
CVE-2017-5093
CVE-2017-5092
CVE-2017-5091


オリジナルへのリンク