| タイトル | Microsoft Windows にスクリプトインジェクションの脆弱性 |
|---|---|
| 概要 | Microsoft Windows の MHTML プロトコルハンドラには、スクリプトインジェクションの脆弱性が存在します。 Microsoft Windows の MHTML プロトコルハンドラには、MIME フォーマットのコンテンツ処理に起因するスクリプトインジェクションの脆弱性が存在します。 Microsoft のブログには以下の記述があります。 “It is possible under certain conditions for this vulnerability to allow an attacker to inject a client-side script in the response of a Web request run in the context of the victim's Internet Explorer. The script could spoof content, disclose information, or take any action that the user could take on the affected Web site on behalf of the targeted user.” Microsoft によると、Microsoft Windows のサポートされているすべてのエディションが本脆弱性の影響を受けます。 詳細は Microsoft が提供する情報をご確認ください。 |
| 想定される影響 | 細工された HTML ドキュメント (ウェブページや HTML 形式のメール) を閲覧することで、遠隔の第三者によって他ドメインのコンテンツにアクセスされ、任意のスクリプトを実行される可能性があります。 |
| 対策 | 2011年1月31日現在、対策方法はありません。 [ワークアラウンドを実施する] 対策版を適用するまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。 ・Fix it (50602) を適用する |
| 公表日 | 2011年1月31日0:00 |
| 登録日 | 2011年3月1日15:14 |
| 最終更新日 | 2011年4月28日14:33 |
| CVSS2.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| マイクロソフト |
| Microsoft Windows 7 (x32) |
| Microsoft Windows 7 (x64) |
| Microsoft Windows Server 2003 |
| Microsoft Windows Server 2003 (itanium) |
| Microsoft Windows Server 2003 (x64) |
| Microsoft Windows Server 2008 (itanium) |
| Microsoft Windows Server 2008 (x64) |
| Microsoft Windows Server 2008 (x86) |
| Microsoft Windows Server 2008 r2(itanium) |
| Microsoft Windows Server 2008 r2(x64) |
| Microsoft Windows Vista |
| Microsoft Windows Vista (x64) |
| Microsoft Windows XP (x64) |
| Microsoft Windows XP sp3 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2011年03月01日] 掲載 [2011年04月28日] ベンダ情報:マイクロソフト (MS11-026) を追加 |
2018年2月17日10:37 |
| 概要 | The MHTML protocol handler in Microsoft Windows XP SP2 and SP3, Windows Server 2003 SP2, Windows Vista SP1 and SP2, Windows Server 2008 Gold, SP2, R2, and R2 SP1, and Windows 7 Gold and SP1 does not properly handle a MIME format in a request for content blocks in a document, which allows remote attackers to conduct cross-site scripting (XSS) attacks via a crafted web site that is visited in Internet Explorer, aka "MHTML Mime-Formatted Request Vulnerability." |
|---|---|
| 公表日 | 2011年2月1日5:00 |
| 登録日 | 2021年1月28日16:37 |
| 最終更新日 | 2024年11月21日10:23 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:microsoft:windows_server_2008:*:sp2:x32:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_server_2008:r2:*:itanium:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_server_2008:r2:*:x64:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_xp:*:sp2:x64:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_server_2008:-:sp2:itanium:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_7:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_server_2008:*:*:x32:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_server_2008:*:*:x64:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_xp:*:sp3:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_server_2008:*:sp2:x64:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_vista:*:sp1:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_server_2003:*:sp2:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_vista:*:sp2:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_2003_server:*:sp2:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_server_2008:*:*:itanium:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_2003_server:*:sp2:itanium:*:*:*:*:* | |||||