LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

注意喚起 | 

TSAC Web package/IIS 5.1 connect.asp Cross-site Scripting Vulnerability

SNS Advisory No.56

Problem first discovered: 17 Apr 2002
Published: 11 Oct 2002

概要

TSAC Webパッケージ、およびIIS 5.1のオプションコンポーネントである「リモートデスクトップWeb接続」に含まれるASPファイルには、クロスサイトスクリプティングを発生させてしまう可能性のある問題が含まれています。

問題

Microsoft Terminal Services Advanced Client(TSAC)は、Microsoft Internet ExplorerからTerminal Servicesを利用するために用いることのできるActiveXコントロールです。Internet Information Service 4.0以降にインストール可能なTSAC Webパッケージには、ダウンロード可能なActiveXコントロールと、Internet Explorer用のサンプルページが含まれています。

また、Windows XP Professional Editionにオプションとしてインストール可能なIIS 5.1には、オプションコンポーネントとして「リモートデスクトップWeb接続」が用意されています。そしてこれはIIS 5.1の導入時にデフォルトでインストールされます。

これらのパッケージおよびコンポーネントに含まれるconnect.aspは、外部からの入力を適切にサニタイズしていないために、クロスサイトスクリプティングの問題を発生させてしまう恐れがあります。

問題を確認したバージョン

TSAC Webパッケージ(TSWEBSETUP.EXE)
Internet Information Services 5.1

問題を確認したOS

Windows 2000 Server[Japanese]
Windows XP Professional[Japanese]

対策

以下のURLにあるサポート技術情報をもとに対策を施すことで、この問題を解消することができます。

JP327521:[MS02-0046]TSAC ActiveXコントロールのバッファオーバーランによりコードが実行される

http://support.microsoft.com/default.aspx?scid=kb;ja;JP327521

発見者

新井 悠


謝辞:

Microsoft Security Response Center
Security Response Team of Microsoft Asia Limited

この記事は役に立ちましたか?

はい いいえ