SNS Advisory No.58
Microsoft IIS Local Cross-site Scripting Vulnerability

Problem first discovered: 28 May 2002
Published: 5 Nov 2002

概要：
Microsoft Internet Information Servicesに含まれる管理者向けサンプルページにはクロスサイトスクリプティングを発生させてしまう可能性があります。

問題：
Microsoft Internet Information Services（IIS）に含まれるIISHELP仮想ディレクトリ中の特定のASPファイルは、外部からの入力を適切にサニタイズしていません。このため、クロスサイトスクリプティングの問題を発生させてしまう可能性があります。

この問題が発生する可能性の高いシナリオは、IISを稼動させているシステムの管理者が、IISHELP仮想ディレクトリ中の特定のASPファイルにHTML要素などをパラメータとして含むハイパーリンクなどが埋め込まれたHTMLページを閲覧、ないし、悪意あるHTML形式の電子メールを受け取った場合です。

この場合、デフォルトの設定で適用されるIISHELP仮想ディレクトリへのアクセス制限には左右されることなく、上記のコンテンツへの参照が発生し、サニタイズされることなく埋め込まれてしまったHTMLタグの影響を受ける可能性があります。

このシナリオが発生した場合、特にInternet Explorerを使用して閲覧を行った場合は「イントラネット」ゾーンのセキュリティ設定でHTMLのレンダリングが行われます。このゾーンの設定に依存しますが、Webページに含まれているデータの変更、セッションの監視、個人情報の第三者のサイトへのコピー、特定のローカルプログラムの実行などができる可能性があります。

問題を確認したバージョン：
Microsoft Internet Information Services 5.0

問題を確認したOS：
Windows 2000 Server + SP3

対策：
「Internet Information Service用の累積的な修正プログラム（Q327696）（MS02-062）」として提供されている修正プログラムを適用することでこの問題を解消することができます。

Internet Information Service用の累積的な修正プログラム（Q327696）（MS02-062）
http://www.microsoft.com/technet/security/bulletin/ms02-062.asp

発見者：
新井 悠 y.arai@lac.co.jp

謝辞：
Security Response Team of Microsoft Asia Limited

免責：
このアドバイザリで示される情報は予告なしに変更されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/58.html