アーカイブ
Microsoft IIS Local Cross-site Scripting Vulnerability
2002年11月5日 | 注意喚起
SNS Advisory No.58
Problem first discovered: 28 May 2002
Published: 5 Nov 2002
概要
Microsoft Internet Information Servicesに含まれる管理者向けサンプルページにはクロスサイトスクリプティングを発生させてしまう可能性があります。
問題
Microsoft Internet Information Services(IIS)に含まれるIISHELP仮想ディレクトリ中の特定のASPファイルは、外部からの入力を適切にサニタイズしていません。このため、クロスサイトスクリプティングの問題を発生させてしまう可能性があります。
この問題が発生する可能性の高いシナリオは、IISを稼動させているシステムの管理者が、IISHELP仮想ディレクトリ中の特定のASPファイルにHTML要素などをパラメータとして含むハイパーリンクなどが埋め込まれたHTMLページを閲覧、ないし、悪意あるHTML形式の電子メールを受け取った場合です。
この場合、デフォルトの設定で適用されるIISHELP仮想ディレクトリへのアクセス制限には左右されることなく、上記のコンテンツへの参照が発生し、サニタイズされることなく埋め込まれてしまったHTMLタグの影響を受ける可能性があります。
このシナリオが発生した場合、特にInternet Explorerを使用して閲覧を行った場合は「イントラネット」ゾーンのセキュリティ設定でHTMLのレンダリングが行われます。このゾーンの設定に依存しますが、Webページに含まれているデータの変更、セッションの監視、個人情報の第三者のサイトへのコピー、特定のローカルプログラムの実行などができる可能性があります。
問題を確認したバージョン
Microsoft Internet Information Services 5.0
問題を確認したOS
Windows 2000 Server + SP3
対策
「Internet Information Service用の累積的な修正プログラム(Q327696)(MS02-062)」として提供されている修正プログラムを適用することでこの問題を解消することができます。
Internet Information Service用の累積的な修正プログラム(Q327696)(MS02-062)
http://www.microsoft.com/technet/security/bulletin/ms02-062.asp
発見者
新井 悠
謝辞:
Security Response Team of Microsoft Asia Limited