JVNDB-2011-001143
|
Microsoft Windows にスクリプトインジェクションの脆弱性
|
Microsoft Windows の MHTML プロトコルハンドラには、スクリプトインジェクションの脆弱性が存在します。
Microsoft Windows の MHTML プロトコルハンドラには、MIME フォーマットのコンテンツ処理に起因するスクリプトインジェクションの脆弱性が存在します。
Microsoft のブログには以下の記述があります。
“It is possible under certain conditions for this vulnerability to allow an attacker to inject a client-side script in the response of a Web request run in the context of the victim's Internet Explorer. The script could spoof content, disclose information, or take any action that the user could take on the affected Web site on behalf of the targeted user.”
Microsoft によると、Microsoft Windows のサポートされているすべてのエディションが本脆弱性の影響を受けます。
詳細は Microsoft が提供する情報をご確認ください。
|
CVSS v2 による深刻度 基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
マイクロソフト
- Microsoft Windows 7 (x32)
- Microsoft Windows 7 (x64)
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 (itanium)
- Microsoft Windows Server 2003 (x64)
- Microsoft Windows Server 2008 (x86)
- Microsoft Windows Server 2008 (itanium)
- Microsoft Windows Server 2008 (x64)
- Microsoft Windows Server 2008 r2(itanium)
- Microsoft Windows Server 2008 r2(x64)
- Microsoft Windows Vista
- Microsoft Windows Vista (x64)
- Microsoft Windows XP sp3
- Microsoft Windows XP (x64)
|
|
細工された HTML ドキュメント (ウェブページや HTML 形式のメール) を閲覧することで、遠隔の第三者によって他ドメインのコンテンツにアクセスされ、任意のスクリプトを実行される可能性があります。
|
2011年1月31日現在、対策方法はありません。
[ワークアラウンドを実施する]
対策版を適用するまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。
・Fix it (50602) を適用する
|
マイクロソフト
富士通
|
- クロスサイトスクリプティング(CWE-79) [NVD評価]
|
- CVE-2011-0096
|
- JVN : JVNVU#326549
- JVN : JVNTA11-102A
- National Vulnerability Database (NVD) : CVE-2011-0096
- JPCERT 緊急報告 : JPCERT-AT-2011-0008
- 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS11-018,019,020,021,022,023,024,025,026,027,028,029,030,031,032,033,034)(2011年04月13日)
- US-CERT Cyber Security Alerts : SA11-102A
- US-CERT Vulnerability Note : VU#326549
- US-CERT Technical Cyber Security Alert : TA11-102A
- Secunia Advisory : SA43093
- SecurityFocus : 46055
- ISS X-Force Database : 65000
- SecurityTracker : 1025003
- VUPEN Security : VUPEN/ADV-2011-0242
- OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 70693
|
- [2011年03月01日]
掲載
[2011年04月28日]
ベンダ情報:マイクロソフト (MS11-026) を追加
|