【活用ガイド】

JVNDB-2011-001143

Microsoft Windows にスクリプトインジェクションの脆弱性

概要

Microsoft Windows の MHTML プロトコルハンドラには、スクリプトインジェクションの脆弱性が存在します。

Microsoft Windows の MHTML プロトコルハンドラには、MIME フォーマットのコンテンツ処理に起因するスクリプトインジェクションの脆弱性が存在します。

Microsoft のブログには以下の記述があります。

“It is possible under certain conditions for this vulnerability to allow an attacker to inject a client-side script in the response of a Web request run in the context of the victim's Internet Explorer. The script could spoof content, disclose information, or take any action that the user could take on the affected Web site on behalf of the targeted user.”

Microsoft によると、Microsoft Windows のサポートされているすべてのエディションが本脆弱性の影響を受けます。

詳細は Microsoft が提供する情報をご確認ください。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


マイクロソフト
  • Microsoft Windows 7 (x32) 
  • Microsoft Windows 7 (x64) 
  • Microsoft Windows Server 2003
  • Microsoft Windows Server 2003 (itanium) 
  • Microsoft Windows Server 2003 (x64) 
  • Microsoft Windows Server 2008 (x86) 
  • Microsoft Windows Server 2008 (itanium) 
  • Microsoft Windows Server 2008 (x64) 
  • Microsoft Windows Server 2008 r2(itanium) 
  • Microsoft Windows Server 2008 r2(x64) 
  • Microsoft Windows Vista
  • Microsoft Windows Vista (x64) 
  • Microsoft Windows XP sp3 
  • Microsoft Windows XP (x64) 

想定される影響

細工された HTML ドキュメント (ウェブページや HTML 形式のメール) を閲覧することで、遠隔の第三者によって他ドメインのコンテンツにアクセスされ、任意のスクリプトを実行される可能性があります。
対策

2011年1月31日現在、対策方法はありません。

[ワークアラウンドを実施する]
対策版を適用するまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。

・Fix it (50602) を適用する
ベンダ情報

マイクロソフト 富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトスクリプティング(CWE-79) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2011-0096
参考情報

  1. JVN : JVNVU#326549
  2. JVN : JVNTA11-102A
  3. National Vulnerability Database (NVD) : CVE-2011-0096
  4. JPCERT 緊急報告 : JPCERT-AT-2011-0008
  5. 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS11-018,019,020,021,022,023,024,025,026,027,028,029,030,031,032,033,034)(2011年04月13日)
  6. US-CERT Cyber Security Alerts : SA11-102A
  7. US-CERT Vulnerability Note : VU#326549
  8. US-CERT Technical Cyber Security Alert : TA11-102A
  9. Secunia Advisory : SA43093
  10. SecurityFocus : 46055
  11. ISS X-Force Database : 65000
  12. SecurityTracker : 1025003
  13. VUPEN Security : VUPEN/ADV-2011-0242
  14. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 70693
更新履歴

  • [2011年03月01日]
      掲載
    [2011年04月28日]
      ベンダ情報:マイクロソフト (MS11-026) を追加

公表日2011/01/31
登録日2011/03/01
最終更新日2011/04/28