製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Google Gears の WorkerPool API における同一送信元ポリシーを回避される脆弱性

タイトル	Google Gears の WorkerPool API における同一送信元ポリシーを回避される脆弱性
概要	Google Gears の WorkerPool API には、同一送信元ポリシーおよび allowCrossOrigin 関数のアクセス制限を回避される脆弱性が存在します。
想定される影響	第三者により、ターゲットドメイン上に Google Gear コマンドを含む安全と思わせるファイルをホスティングし、攻撃ドメインからファイルにアクセスすることで、レスポンスヘッダがチェックされずにワーカーコードがターゲットドメイン内で起動する状態を誘発し、同一送信元ポリシーおよび allowCrossOrigin 関数のアクセス制限を回避される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2009年3月24日0:00
登録日	2012年6月26日16:10
最終更新日	2012年6月26日16:10

CVSS2.0 : 警告
スコア	6.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:P

影響を受けるシステム

Google

gears 0.5.4.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-6512	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-6512
National Vulnerability Database (NVD)
2	CVE-2008-6512	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6512

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Google
1	Top Page	https://developers.google.com/gears/?hl=ja#cross_origin

変更履歴

No	変更内容	変更日
0	[2012年06月26日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2008-6512

概要	Cross-domain vulnerability in the WorkerPool API in Google Gears before 0.5.4.2 allows remote attackers to bypass the Same Origin Policy and the intended access restrictions of the allowCrossOrigin function by hosting an assumed-safe file type containing Google Gear commands on the target domain, then accessing that file from the attacking domain, whose response headers are not checked and cause the worker code to run in the target domain.
概要	Vulnerabilidad de dominio cruzado en la API WorkerPool en Google Gears anteriores a v0.5.4.2 lo que permite a atacantes remotos evitar la política de igual origen y las restricciones de acceso previstas de la función allowCrossOrigin , asumiendo la existencia de un fichero seguro que contiene los comandos de Google Gear en el dominio objetivo, cuando se accede a ese fichero desde el dominio atacante, las cabeceras de respuesta no son chequeadas y el código worker corre en el dominio objetivo.
公表日	2009年3月24日23:30
登録日	2021年1月29日13:50
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:google:gears::::::::			0.5
cpe:2.3:a:google:gears:0.1:::::::*
cpe:2.3:a:google:gears:0.2:::::::*
cpe:2.3:a:google:gears:0.3:::::::*
cpe:2.3:a:google:gears:0.4:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://blog.watchfire.com/wfblog/2008/12/breaking-google-gears-cross-origin-communication-model.html	cve@mitre.org
2	http://code.google.com/apis/gears/upcoming/api_workerpool.html#cross_origin	cve@mitre.org
3	http://lists.grok.org.uk/pipermail/full-disclosure/2008-December/066291.html	cve@mitre.org
4	http://secunia.com/advisories/33062	cve@mitre.org
5	http://www.securityfocus.com/bid/32698	cve@mitre.org
6	https://exchange.xforce.ibmcloud.com/vulnerabilities/47173	cve@mitre.org
7	http://blog.watchfire.com/wfblog/2008/12/breaking-google-gears-cross-origin-communication-model.html	af854a3a-2127-422b-91ae-364da2661108
8	http://code.google.com/apis/gears/upcoming/api_workerpool.html#cross_origin	af854a3a-2127-422b-91ae-364da2661108
9	http://lists.grok.org.uk/pipermail/full-disclosure/2008-December/066291.html	af854a3a-2127-422b-91ae-364da2661108
10	http://secunia.com/advisories/33062	af854a3a-2127-422b-91ae-364da2661108
11	http://www.securityfocus.com/bid/32698	af854a3a-2127-422b-91ae-364da2661108
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/47173	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧