-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
SNS Advisory No.58
Problem first discovered: 28 May 2002
Published: 5 Nov 2002
概要
Microsoft Internet Information Servicesに含まれる管理者向けサンプルページにはクロスサイトスクリプティングを発生させてしまう可能性があります。
問題
Microsoft Internet Information Services(IIS)に含まれるIISHELP仮想ディレクトリ中の特定のASPファイルは、外部からの入力を適切にサニタイズしていません。このため、クロスサイトスクリプティングの問題を発生させてしまう可能性があります。
この問題が発生する可能性の高いシナリオは、IISを稼動させているシステムの管理者が、IISHELP仮想ディレクトリ中の特定のASPファイルにHTML要素などをパラメータとして含むハイパーリンクなどが埋め込まれたHTMLページを閲覧、ないし、悪意あるHTML形式の電子メールを受け取った場合です。
この場合、デフォルトの設定で適用されるIISHELP仮想ディレクトリへのアクセス制限には左右されることなく、上記のコンテンツへの参照が発生し、サニタイズされることなく埋め込まれてしまったHTMLタグの影響を受ける可能性があります。
このシナリオが発生した場合、特にInternet Explorerを使用して閲覧を行った場合は「イントラネット」ゾーンのセキュリティ設定でHTMLのレンダリングが行われます。このゾーンの設定に依存しますが、Webページに含まれているデータの変更、セッションの監視、個人情報の第三者のサイトへのコピー、特定のローカルプログラムの実行などができる可能性があります。
問題を確認したバージョン
Microsoft Internet Information Services 5.0
問題を確認したOS
Windows 2000 Server + SP3
対策
「Internet Information Service用の累積的な修正プログラム(Q327696)(MS02-062)」として提供されている修正プログラムを適用することでこの問題を解消することができます。
Internet Information Service用の累積的な修正プログラム(Q327696)(MS02-062)
http://www.microsoft.com/technet/security/bulletin/ms02-062.asp
発見者
新井 悠
謝辞:
Security Response Team of Microsoft Asia Limited
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR