アーカイブ
TSAC Web package/IIS 5.1 connect.asp Cross-site Scripting Vulnerability
2002年10月11日 | 注意喚起
SNS Advisory No.56
Problem first discovered: 17 Apr 2002
Published: 11 Oct 2002
概要
TSAC Webパッケージ、およびIIS 5.1のオプションコンポーネントである「リモートデスクトップWeb接続」に含まれるASPファイルには、クロスサイトスクリプティングを発生させてしまう可能性のある問題が含まれています。
問題
Microsoft Terminal Services Advanced Client(TSAC)は、Microsoft Internet ExplorerからTerminal Servicesを利用するために用いることのできるActiveXコントロールです。Internet Information Service 4.0以降にインストール可能なTSAC Webパッケージには、ダウンロード可能なActiveXコントロールと、Internet Explorer用のサンプルページが含まれています。
また、Windows XP Professional Editionにオプションとしてインストール可能なIIS 5.1には、オプションコンポーネントとして「リモートデスクトップWeb接続」が用意されています。そしてこれはIIS 5.1の導入時にデフォルトでインストールされます。
これらのパッケージおよびコンポーネントに含まれるconnect.aspは、外部からの入力を適切にサニタイズしていないために、クロスサイトスクリプティングの問題を発生させてしまう恐れがあります。
問題を確認したバージョン
TSAC Webパッケージ(TSWEBSETUP.EXE)
Internet Information Services 5.1
問題を確認したOS
Windows 2000 Server[Japanese]
Windows XP Professional[Japanese]
対策
以下のURLにあるサポート技術情報をもとに対策を施すことで、この問題を解消することができます。
JP327521:[MS02-0046]TSAC ActiveXコントロールのバッファオーバーランによりコードが実行される
http://support.microsoft.com/default.aspx?scid=kb;ja;JP327521
発見者
新井 悠
謝辞:
Microsoft Security Response Center
Security Response Team of Microsoft Asia Limited