Launch Printer Friendly Page Security TechCenter > セキュリティ情報 > マイクロソフト セキュリティ情報 MS12-007

マイクロソフト セキュリティ情報 MS12-007 - 重要

AntiXSS Library の脆弱性により、情報漏えいが起こる (2607664)

公開日: | 最終更新日:

バージョン: 2.1

概説

概要

このセキュリティ更新プログラムは、1 件の非公開で報告された Microsoft Anti-Cross Site Scripting (AntiXSS) Library の脆弱性を解決します。この脆弱性により、AntiXSS Library のサニタイズ機能を使用している Web サイトに攻撃者が悪意のあるスクリプトを渡すと、情報漏えいが起こる可能性があります。その場合の情報漏えいの影響は、情報自体の性質によって異なります。攻撃者は、この脆弱性により、直接コードを実行したり、ユーザーの権限を昇格させたりすることはできませんが、この脆弱性を悪用して、攻撃に使用する情報を作成し、影響を受けるコンピューターをさらに侵害しようとする可能性があります。AntiXSS Library のサニタイズ モジュールを使用するサイトのみがこの脆弱性の影響を受けます。

このセキュリティ更新プログラムは、AntiXSS Library V3.x および AntiXSS Library V4.0 について深刻度を「重要」と評価しています。詳細については、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションを参照してください。

この更新プログラムは、AntiXSS Library をこの脆弱性の影響を受けないバージョンにアップグレードすることにより、この脆弱性を解決します。この脆弱性に関する詳細については、次の「脆弱性の情報」のセクションの特定の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ)」を参照してください。

推奨する対応策: マイクロソフトはお客様が、できるだけ早い機会にこの更新プログラムを適用することを推奨します。

既知の問題 マイクロソフト サポート技術情報 2607664 で、このセキュリティ更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明しています。また、これらの問題に対する推奨される解決策についても説明しています。

影響を受けるソフトウェアと影響を受けないソフトウェア

ここに記載されているソフトウェアをテストし、影響を受けるバージョンまたはエディションを確認しました。

影響を受けるソフトウェア

ソフトウェア最も深刻な脆弱性の影響総合的な深刻度この更新プログラムにより置き換えられるセキュリティ情報
Microsoft Anti-Cross Site Scripting Library V3.x および Microsoft Anti-Cross Site Scripting Library V4.0[1][2]情報漏えい重要なし

[1] このダウンロードは、Microsoft Anti-Cross Site Scripting (AntiXSS) Library をこの脆弱性の影響を受けない新バージョンの Microsoft Anti-Cross Site Scripting Library にアップグレードします。

[2] このアップグレード プログラムは、マイクロソフト ダウンロード センターでのみ利用可能です。次のセクション「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」をご覧ください。

このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)

脆弱性の情報

深刻度および脆弱性識別番号

AntiXSS Library のバイパスの脆弱性 - CVE-2012-0007

関連情報

謝辞

この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い謝意を表します。

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などがありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償でサポートをご提供いたします。利用可能なサポート オプションの詳細については、マイクロソフト サポート オンラインを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償またはインシデントの未消費にてサポートをご提供いたします。マイクロソフト プロダクト サポートへの連絡方法については、こちらを参照してください。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2012/01/11):このセキュリティ情報ページを公開しました。
  • V2.0 (2012/01/16):当初のアップグレード パッケージである AntiXSS Library version 4.2 が AntiXSS Library version 4.2.1 に置き換えられたことをお知らせしました。AntiXSS Library のすべてのユーザーは、AntiXSS Library version 4.2.1 にアップグレードして、このセキュリティ情報で説明されている脆弱性からの保護を確実にしてください。詳細については、更新された「よく寄せられる質問」を参照してください。
  • V2.1 (2012/01/18):このセキュリティ情報ページを更新し、「概要」の「既知の問題」に、サポート技術情報 2607664 へのリンクを追加しました。また、「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」を更新し、AntiXSS Library version 4.2.1 がマイクロソフト ダウンロード センターでのみご利用いただける理由を説明しました。