IIS 5.0 のクロスサイト スクリプティング問題の修正プログラム

文書翻訳 文書翻訳
文書番号: 275657 - 対象製品
この記事は、以前は次の ID で公開されていました: JP275657
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

現象

マイクロソフトでは、悪意のあるユーザーが第三者の Web サイトを装い、他のユーザーのコンピュータでコードを実行できる脆弱性の問題を確認しました。こうしたコードは、第三者の Web サイトで許可されているすべての動作を、他のユーザーのコンピュータで実行することができます。さらに、このコードはそのまま保持されるため、将来ユーザーがその Web サイトを再度訪問した場合、そのコードは再実行されてしまいます。

この脆弱性の問題が利用されるのは、HTML 形式のメール、または悪意のあるユーザーの Web サイトに設定されているハイパーリンクをクリックした場合に限られます。

原因

Internet Information Services 5.0 のいくつかの Web サービスでは、入力された情報を利用する前に妥当性検証が適切に行われないことがあります。このため Internet Information Services 5.0 はクロスサイト スクリプティング (CSS) の脆弱性が生じます。

解決方法

この問題を解決するには、Windows XP の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322389 最新の Windows XP Service Pack を入手する方法
この問題を解決するには、Windows 2000 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法
修正プログラム (英語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
日付         時刻     バージョン        サイズ      ファイル名
   --------------------------------------------------------
   08/26/2000  06:30p                   6,512  Fixerr.js
   08/27/2000  11:41p  5.0.2195.2104   57,104  Httpodbc.dll
   09/21/2000  05:23p  5.0.2195.2287  122,640  Iisrtl.dll
   09/28/2000  05:54p  5.0.2195.2363   46,352  Ism.dll
   08/27/2000  11:41p  5.0.2195.2104   41,744  Ssinc.dll

Internet Information Server (IIS) 4.0 で発生するこの問題の解決方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260347 [IIS 4] クロス サイト スクリプティング問題の修正プログラム

状況

マイクロソフトでは、これが Internet Information Services 5.0 にかかわる問題であることを確認済みです。 この問題は、Microsoft Windows 2000 Service Pack 3 (SP3) および Microsoft Windows XP Service Pack 1 (SP1) で修正済みです。

詳細

このセキュリティ上の脆弱性の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS00-060.asp
CSS は、最近発見されたセキュリティの脆弱性の問題で、この問題を利用することにより、悪意のあるユーザーは、Web サイトとのユーザーのセッションにコードを "挿入" することができます。通常のセキュリティの脆弱性とは異なり、CSS は特定のベンダ製品にのみ適用されるものではありません。CSS は、Web サーバー上で実行されるすべてのソフトウェアで問題を発生させることが可能であり、防御用のプログラムも効果がありません。2000 年の初め、Microsoft および CERT は、この問題に関する情報をソフトウェア業界に公開し、この問題への業界全体の対応を率先して取りまとめました。

さらにマイクロソフトでは、CSS に関する詳細な情報を公開しました。これらの情報には、脆弱性の攻撃を受ける可能性のあるコードを開発者がチェックする方法も含まれます。マイクロソフトでは、適切なチェックが行われていない箇所を IIS 内で数か所確認しました。社内のセキュリティ チームによって発見された箇所以外に、ユーザーから報告を受けた箇所もあります。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 275657 (最終更新日 2002-09-05) をもとに作成したものです。

プロパティ

文書番号: 275657 - 最終更新日: 2014年2月10日 - リビジョン: 1.3
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 5.0
キーワード:?
kbnosurvey kbarchive kbhotfixserver kbbug kbcomis kbfix kbgraphxlinkcritical kbwin2000presp2fix kbwinxpsp1fix KB275657
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com