Google Chrome < 24.0.1312.52 複数の脆弱性

critical Nessus プラグイン ID 63468

概要

リモートホストに含まれるウェブブラウザは複数の脆弱性の影響を受けています。

説明

リモートホストにインストールした Google Chrome のバージョンは、 24.0.1312.52 より以前のバージョンのため、以下の脆弱性の影響を受けます。

- SVG レイアウト、DOM 処理、ビデオ検索、PDF フィールド、印刷に関連する、use-after-free エラーが存在しています。
(CVE-2012-5145、CVE-2012-5147、CVE-2012-5150、 CVE-2012-5156、CVE-2013-0832)

無効な形式の URL に関連したエラーにより、同一成元ポリシー(SOP)バイパスが可能になります。これにより、クロスサイトスクリプティング攻撃が可能になります。(CVE-2012-5146)

- ファイル名やハイフネーションサポートに関連するユーザー入力の検証エラーが存在しています。(CVE-2012-5148)

- オーディオ IPC 処理、PDF JavaScript および共有メモリ割り当てに関連する整数オーバーフローエラーが存在しています。
(CVE-2012-5149、 CVE-2012-5151、CVE-2012-5154)

- ビデオ検索、PDF 画像処理、印刷、グリフ処理に関連する領域外読み込みエラーが存在しています。(CVE-2012-5152、CVE-2012-5157、CVE-2012-0833、 CVE-2012-0834)

- v8 JavaScript エンジンに、領域外スタックアクセスエラーが存在しています。(CVE-2012-5153)

- PDF「root」処理に関連するキャスティングエラーが存在しています。
(CVE-2013-0828)

- 詳細不明なエラーが存在しており、不適切なファイルアクセスを引き起こすデータベースメタデータが破損する可能性があります。
(CVE-2013-0829)

- IPC および「NUL」終了に関連するエラーが存在しています。
(CVE-2013-0830)

- 不適切なパストラバーサルを可能にする、拡張に関連するエラーが存在しています。(CVE-2013-0831)

- 位置情報に関連する詳細不明なエラーが存在しています。
(CVE-2013-0835)

- v8 JavaScript エンジンのガベージコレクションに関連する詳細不明なエラーが存在しています。(CVE-2013-0836)

- 拡張タブ処理に関連する詳細不明なエラーが存在しています。(CVE-2013-0837)

- バンドルされたバージョンの Adobe Flash Player に任意のコードの実行を引き起こす可能性のある欠陥があります。
(CVE-2013-0630)

これらの問題のいずれかを悪用することに成功すると、アプリケーションのクラッシュが引き起こされたり、ユーザーの権限にしたがって任意のコードが実行されたりします。

ソリューション

Google Chrome 24.0.1312.52 以降にアップグレードしてください。

関連情報

http://www.nessus.org/u?d71ffa01

http://www.adobe.com/support/security/bulletins/apsb13-01.html

プラグインの詳細

深刻度: Critical

ID: 63468

ファイル名: google_chrome_24_0_1312_52.nasl

バージョン: 1.20

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2013/1/10

更新日: 2022/4/11

構成: 徹底的なチェックを有効にする

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.4

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2013-0630

脆弱性情報

CPE: cpe:/a:google:chrome

必要な KB アイテム: SMB/Google_Chrome/Installed

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/1/10

脆弱性公開日: 2013/1/8

参照情報

CVE: CVE-2012-5145, CVE-2012-5146, CVE-2012-5147, CVE-2012-5148, CVE-2012-5149, CVE-2012-5150, CVE-2012-5151, CVE-2012-5152, CVE-2012-5153, CVE-2012-5154, CVE-2012-5156, CVE-2012-5157, CVE-2013-0630, CVE-2013-0828, CVE-2013-0829, CVE-2013-0830, CVE-2013-0831, CVE-2013-0832, CVE-2013-0833, CVE-2013-0834, CVE-2013-0835, CVE-2013-0836, CVE-2013-0837

BID: 57184, 59413, 59414, 59415, 59416, 59417, 59418, 59419, 59420, 59422, 59423, 59424, 59425, 59426, 59427, 59428, 59429, 59430, 59431, 59435, 59436, 59437, 59438

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990