公開日:2011/01/31 最終更新日:2011/05/11

JVNVU#326549
Microsoft Windows にスクリプトインジェクションの脆弱性
緊急

概要

Microsoft Windows の MHTML プロトコルハンドラには、スクリプトインジェクションの脆弱性が存在します。

影響を受けるシステム

Microsoft によると、Microsoft Windows のサポートされているすべてのエディションが本脆弱性の影響を受けます。

詳細は Microsoft が提供する情報をご確認ください。

詳細情報

Microsoft Windows の MHTML プロトコルハンドラには、MIME フォーマットのコンテンツ処理に起因するスクリプトインジェクションの脆弱性が存在します。

Microsoft のブログには以下の記述があります。

"It is possible under certain conditions for this vulnerability to allow an attacker to inject a client-side script in the response of a Web request run in the context of the victim's Internet Explorer. The script could spoof content, disclose information, or take any action that the user could take on the affected Web site on behalf of the targeted user."

想定される影響

細工された HTML ドキュメント (ウェブページや HTML 形式のメール) を閲覧することで、遠隔の第三者によって他ドメインのコンテンツにアクセスされ、任意のスクリプトを実行される可能性があります。

対策方法

アップデートする
2011年4月13日にセキュリティ更新プログラムが公開されました。マイクロソフトが提供する情報 (MS11-026) をもとにアップデートしてください。

ワークアラウンドを実施する
対策版を適用するまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。

  • Fix it (50602) を適用する

参考情報

  1. US-CERT Vulnerability Note VU#326549
    Microsoft Windows MHTML script injection vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2011-0096
JVN iPedia JVNDB-2011-001143

更新履歴

2011/03/28
関連文書に JVN iPedia へのリンクを追加しました。
2011/05/11
対策方法およびベンダ情報を更新しました。