製品・ソフトウェアに関する情報
脆弱性検索
Microsoft Windows Help and Support Center に脆弱性
タイトル Microsoft Windows Help and Support Center に脆弱性
概要

Microsoft Windows の Help and Support Center には、hcp:// URI の処理に起因する脆弱性が存在します。 Help and Support Center ドキュメントに存在するクロスサイトスクリプティングの脆弱性を使用することで、任意のスクリプトを挿入される可能性があります。

想定される影響 細工された hcp:// URI を処理させることで、遠隔の第三者によって、ユーザの権限で任意のコマンドを実行される可能性があります。 
対策

[アップデートする] Microsoft が提供する情報をもとにアップデートを行ってください。 [ワークアラウンドを実施する] 本脆弱性の影響を軽減する回避策については、ベンダが提供する情報をご確認ください。
公表日 2010年6月10日0:00
登録日 2010年7月5日17:52
最終更新日 2010年7月23日18:55
CVSS2.0 : 危険
スコア 9.3
ベクター AV:N/AC:M/Au:N/C:C/I:C/A:C
影響を受けるシステム
マイクロソフト
Microsoft Windows Server 2003 
Microsoft Windows Server 2003 (itanium)
Microsoft Windows Server 2003 (x64)
Microsoft Windows XP (x64)
Microsoft Windows XP sp3
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2010年07月05日]
  掲載
[2010年07月23日]
  ベンダ情報:マイクロソフト (MS10-042) を追加
  ベンダ情報:富士通 (TA10-194A) を追加		 2018年2月17日10:37
NVD脆弱性情報
CVE-2010-1885
概要

The MPC::HexToNum function in helpctr.exe in Microsoft Windows Help and Support Center in Windows XP and Windows Server 2003 does not properly handle malformed escape sequences, which allows remote attackers to bypass the trusted documents whitelist (fromHCP option) and execute arbitrary commands via a crafted hcp:// URL, aka "Help Center URL Validation Vulnerability."

概要

Per: http://blogs.technet.com/b/msrc/archive/2010/06/10/windows-help-vulnerability-disclosure.aspx

"customers running Windows Vista, Windows 7, Windows Server 2008, and Windows Server 2008 R2, are not vulnerable to this issue, or at risk of attack."

公表日 2010年6月15日23:04
登録日 2021年1月29日11:01
最終更新日 2019年2月26日23:04
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:microsoft:windows_2003_server:*:sp2:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_2003_server:*:sp2:itanium:*:*:*:*:*
cpe:2.3:o:microsoft:windows_server_2003:*:sp2:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_xp:*:sp2:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_xp:*:sp3:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_xp:-:sp2:x64:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧