JVNVU#326549
Microsoft Windows にスクリプトインジェクションの脆弱性
緊急
Microsoft Windows の MHTML プロトコルハンドラには、スクリプトインジェクションの脆弱性が存在します。
Microsoft によると、Microsoft Windows のサポートされているすべてのエディションが本脆弱性の影響を受けます。
詳細は Microsoft が提供する情報をご確認ください。
Microsoft Windows の MHTML プロトコルハンドラには、MIME フォーマットのコンテンツ処理に起因するスクリプトインジェクションの脆弱性が存在します。
Microsoft のブログには以下の記述があります。
"It is possible under certain conditions for this vulnerability to allow an attacker to inject a client-side script in the response of a Web request run in the context of the victim's Internet Explorer. The script could spoof content, disclose information, or take any action that the user could take on the affected Web site on behalf of the targeted user."
細工された HTML ドキュメント (ウェブページや HTML 形式のメール) を閲覧することで、遠隔の第三者によって他ドメインのコンテンツにアクセスされ、任意のスクリプトを実行される可能性があります。
アップデートする
2011年4月13日にセキュリティ更新プログラムが公開されました。マイクロソフトが提供する情報 (MS11-026) をもとにアップデートしてください。
ワークアラウンドを実施する
対策版を適用するまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。
- Fix it (50602) を適用する
-
US-CERT Vulnerability Note VU#326549
Microsoft Windows MHTML script injection vulnerability
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2011-0096 |
JVN iPedia |
JVNDB-2011-001143 |
- 2011/03/28
- 関連文書に JVN iPedia へのリンクを追加しました。
- 2011/05/11
- 対策方法およびベンダ情報を更新しました。