製品・ソフトウェアに関する情報
脆弱性検索
複数の Microsoft 製品の toStaticHTML API におけるクロスサイトスクリプティングの脆弱性
タイトル 複数の Microsoft 製品の toStaticHTML API におけるクロスサイトスクリプティングの脆弱性
概要

複数の Microsoft 製品の toStaticHTML API は、イベントの属性やスクリプトを適切に処理しないため、クロスサイトスクリプティング攻撃を実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「HTML のサニタイズの脆弱性」と記載されています。

想定される影響 第三者により、巧妙に細工された HTML ドキュメントを介して、クロスサイトスクリプティング攻撃を実行される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2012年6月12日0:00
登録日 2012年6月14日14:48
最終更新日 2012年7月12日14:23
CVSS2.0 : 警告
スコア 4.3
ベクター AV:N/AC:M/Au:N/C:P/I:N/A:N
影響を受けるシステム
マイクロソフト
Microsoft Groove Server 2010 SP1 以前
Microsoft InfoPath 2007 SP2 および SP3
Microsoft InfoPath 2010 SP1 以前 (32 ビット版)
Microsoft InfoPath 2010 SP1 以前 (64 ビット版)
Microsoft Internet Explorer 8
Microsoft Internet Explorer 9
Microsoft Lync 2010 (32-bit)
Microsoft Lync 2010 (64-bit)
Microsoft Lync 2010 Attendee
Microsoft Office Communicator 2007 R2
Microsoft Office SharePoint Server 2007 SP2 および SP3 (32 ビット版)
Microsoft Office SharePoint Server 2007 SP2 および SP3 (64 ビット版)
Microsoft Office Web Apps 2010 SP1 以前
Microsoft SharePoint Foundation 2010 SP1 以前
Microsoft SharePoint Server 2010 SP1 以前
Microsoft Windows 7 (x32) SP1 以前
Microsoft Windows 7 (x64) SP1 以前
Microsoft Windows Server 2003 (x64) SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2008 (x64) SP2
Microsoft Windows Server 2008 (x86) SP2
Microsoft Windows Server 2008 r2(itanium) SP1 以前
Microsoft Windows Server 2008 r2(x64) SP1 以前
Microsoft Windows SharePoint Services 3.0 SP2 (32-bit エディション)
Microsoft Windows SharePoint Services 3.0 SP2 (64-bit エディション)
Microsoft Windows Vista (x64) SP2
Microsoft Windows Vista SP2
Microsoft Windows XP (x64) SP2
Microsoft Windows XP sp3 SP3
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2012年06月14日]
  掲載
[2012年06月15日]
  ベンダ情報:富士通 (TA12-164A) を追加
[2012年07月12日]
  影響を受けるシステム:マイクロソフト (MS12-050) の情報を追加
  ベンダ情報:マイクロソフト (MS12-050) を追加		 2018年2月17日10:37
NVD脆弱性情報
CVE-2012-1858
概要

The toStaticHTML API (aka the SafeHTML component) in Microsoft Internet Explorer 8 and 9, Communicator 2007 R2, and Lync 2010 and 2010 Attendee does not properly handle event attributes and script, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via a crafted HTML document, aka "HTML Sanitization Vulnerability."

公表日 2012年6月13日7:55
登録日 2021年1月28日14:56
最終更新日 2024年11月21日10:37
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:microsoft:lync:2010:*:x86:*:*:*:*:*
cpe:2.3:a:microsoft:lync:2010:*:x64:*:*:*:*:*
cpe:2.3:a:microsoft:lync:2010:*:attendee:*:*:*:*:*
cpe:2.3:a:microsoft:office_communicator:2007:r2:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:a:microsoft:internet_explorer:8:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:o:microsoft:windows_2003_server:*:sp2:*:*:*:*:*:*
2 cpe:2.3:o:microsoft:windows_7:*:*:x86:*:*:*:*:*
3 cpe:2.3:o:microsoft:windows_7:-:sp1:x86:*:*:*:*:*
4 cpe:2.3:o:microsoft:windows_7:-:*:*:*:*:*:*:*
5 cpe:2.3:o:microsoft:windows_7:-:sp1:x64:*:*:*:*:*
6 cpe:2.3:o:microsoft:windows_server_2003:*:sp2:*:*:*:*:*:*
7 cpe:2.3:o:microsoft:windows_server_2008:*:sp2:x64:*:*:*:*:*
8 cpe:2.3:o:microsoft:windows_server_2008:*:r2:itanium:*:*:*:*:*
9 cpe:2.3:o:microsoft:windows_server_2008:*:sp2:x86:*:*:*:*:*
10 cpe:2.3:o:microsoft:windows_server_2008:*:r2:x64:*:*:*:*:*
11 cpe:2.3:o:microsoft:windows_vista:*:sp2:*:*:*:*:*:*
12 cpe:2.3:o:microsoft:windows_xp:*:sp3:*:*:*:*:*:*
13 cpe:2.3:o:microsoft:windows_xp:-:sp2:x64:*:*:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:a:microsoft:internet_explorer:9:*:*:*:*:*:*:*
実行環境
1 cpe:2.3:o:microsoft:windows_7:*:sp1:x86:*:*:*:*:*
2 cpe:2.3:o:microsoft:windows_7:*:*:x86:*:*:*:*:*
3 cpe:2.3:o:microsoft:windows_7:*:sp1:x64:*:*:*:*:*
4 cpe:2.3:o:microsoft:windows_7:*:*:x64:*:*:*:*:*
5 cpe:2.3:o:microsoft:windows_7:-:sp1:x64:*:*:*:*:*
6 cpe:2.3:o:microsoft:windows_7:-:sp1:x86:*:*:*:*:*
7 cpe:2.3:o:microsoft:windows_7:-:*:*:*:*:*:*:*
8 cpe:2.3:o:microsoft:windows_server_2008:*:sp2:x86:*:*:*:*:*
9 cpe:2.3:o:microsoft:windows_server_2008:r2:*:x64:*:*:*:*:*
10 cpe:2.3:o:microsoft:windows_vista:*:sp2:*:*:*:*:*:*
11 cpe:2.3:o:microsoft:windows_vista:-:sp2:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧