The page may not load correctly.
CVE-2012-6636
WebViewCodeExecution (CVE-2012-6636) — Google Android モバイルオペレーティングシステムの WebView コンポーネントの脆弱性であり、攻撃者が攻撃対象のデバイス上で任意の JavaScript スクリプトを実行できるようになります。このようなスクリプトを使用すると、任意の Java 関数を呼び出すことができます。この脆弱性を悪用すると、攻撃者はデバイスに保存されている機密ユーザーデータに不正にアクセスしたり、SMSメッセージの送信などのさまざまなアクションを実行したりするリスクが存在します。この場合、攻撃されたデバイス上で実行されるスクリプトは、脆弱性を悪用するアプリケーションと同じ権限を持ちます。Google Android 4.2およびそれ以前のバージョンが危険に晒されています。
現在のモバイルアンチウイルスには、 WebViewCodeExecution の脆弱性を悪用するアプリケーションを検出できるものはありません。なぜなら、そのようなアプリケーションには悪意のあるコードが含まれていないためです。例えば、アプリケーションは通常のWebページとしてインターネットからダウンロードできます。従って、セキュリティを保持するためには、脆弱なバージョンの Android OS を搭載するデバイス上にて未確認のリソースから入手したアプリケーションを実行しないこと、また、インストールされているプログラムの動作に必要な権限リストを注意深く監視することが推奨されます。
WebViewコンポーネントは、デバイスの画面にWebページを表示するために、さまざまなAndroidアプリケーション(ブラウザーなど)によって使用されます。アプリケーション開発者は、システムAPIを用いてこのコンポーネントを使用できます。WebViewを使用するアプリケーションに JavaScript の実行を許可するフラグが設定されている場合、それらのスクリプトはさまざまな Java 関数を呼び出すことができます。
この脆弱性の場合、WebViewコンポーネントのコンテキストで実行されている JavaScript が、Webページの HTMLコードから任意の Java メソッドをその名前で呼び出すことができます。こうして、脆弱性のあるアプリケーションが持つ権限を悪用し、脆弱なシステム上で任意のコードを実行する可能性があります。