IIS 5.0 のクロスサイト スクリプティング問題の修正プログラム

この記事は、以前は次の ID で公開されていました: JP275657
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
現象
マイクロソフトでは、悪意のあるユーザーが第三者の Web サイトを装い、他のユーザーのコンピュータでコードを実行できる脆弱性の問題を確認しました。こうしたコードは、第三者の Web サイトで許可されているすべての動作を、他のユーザーのコンピュータで実行することができます。さらに、このコードはそのまま保持されるため、将来ユーザーがその Web サイトを再度訪問した場合、そのコードは再実行されてしまいます。

この脆弱性の問題が利用されるのは、HTML 形式のメール、または悪意のあるユーザーの Web サイトに設定されているハイパーリンクをクリックした場合に限られます。
原因
Internet Information Services 5.0 のいくつかの Web サービスでは、入力された情報を利用する前に妥当性検証が適切に行われないことがあります。このため Internet Information Services 5.0 はクロスサイト スクリプティング (CSS) の脆弱性が生じます。
解決方法
この問題を解決するには、Windows XP の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322389 最新の Windows XP Service Pack を入手する方法
この問題を解決するには、Windows 2000 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法
修正プログラム (英語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
日付         時刻     バージョン        サイズ      ファイル名   --------------------------------------------------------   08/26/2000  06:30p                   6,512  Fixerr.js   08/27/2000  11:41p  5.0.2195.2104   57,104  Httpodbc.dll   09/21/2000  05:23p  5.0.2195.2287  122,640  Iisrtl.dll   09/28/2000  05:54p  5.0.2195.2363   46,352  Ism.dll   08/27/2000  11:41p  5.0.2195.2104   41,744  Ssinc.dll

Internet Information Server (IIS) 4.0 で発生するこの問題の解決方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260347 [IIS 4] クロス サイト スクリプティング問題の修正プログラム
状況
マイクロソフトでは、これが Internet Information Services 5.0 にかかわる問題であることを確認済みです。この問題は、Microsoft Windows 2000 Service Pack 3 (SP3) および Microsoft Windows XP Service Pack 1 (SP1) で修正済みです。
詳細
このセキュリティ上の脆弱性の詳細については、次のマイクロソフト Web サイトを参照してください。CSS は、最近発見されたセキュリティの脆弱性の問題で、この問題を利用することにより、悪意のあるユーザーは、Web サイトとのユーザーのセッションにコードを "挿入" することができます。通常のセキュリティの脆弱性とは異なり、CSS は特定のベンダ製品にのみ適用されるものではありません。CSS は、Web サーバー上で実行されるすべてのソフトウェアで問題を発生させることが可能であり、防御用のプログラムも効果がありません。2000 年の初め、Microsoft および CERT は、この問題に関する情報をソフトウェア業界に公開し、この問題への業界全体の対応を率先して取りまとめました。

さらにマイクロソフトでは、CSS に関する詳細な情報を公開しました。これらの情報には、脆弱性の攻撃を受ける可能性のあるコードを開発者がチェックする方法も含まれます。マイクロソフトでは、適切なチェックが行われていない箇所を IIS 内で数か所確認しました。社内のセキュリティ チームによって発見された箇所以外に、ユーザーから報告を受けた箇所もあります。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 275657 (最終更新日 2002-09-05) をもとに作成したものです。

Patch Available for "IIS Cross-Site Scripting" Vulnerabilities
プロパティ

文書番号:275657 - 最終更新日: 02/10/2014 01:43:40 - リビジョン: 1.3

  • Microsoft Internet Information Services 5.0
  • kbnosurvey kbarchive kbhotfixserver kbbug kbcomis kbfix kbgraphxlinkcritical kbwin2000presp2fix kbwinxpsp1fix KB275657
フィードバック