Windowsのすべてのエディションで情報漏えいが起こる脆弱性（マイクロソフト）

マイクロソフト株式会社は1月29日、セキュリティアドバイザリ「MHTMLの脆弱性により、情報漏えいが起こる（2501696）」を公開した。この脆弱性は、Microsoft Windowsのサポートされているすべてのエディションに存在する。MHTMLが文書内のコンテンツブロックのMIME形式

脆弱性と脅威セキュリティホール・脆弱性

2011.2.1 Tue 8:00

マイクロソフト株式会社は1月29日、セキュリティアドバイザリ「MHTMLの脆弱性により、情報漏えいが起こる（2501696）」を公開した。この脆弱性は、Microsoft Windowsのサポートされているすべてのエディションに存在する。MHTMLが文書内のコンテンツブロックのMIME形式のリクエストを解釈する方法が原因で、これにより、特定の状況で攻撃者が標的となるユーザのInternet Explorerのコンテキストで実行されているWebリクエストの応答にクライアント側のスクリプトを挿入する可能性がある。

この脆弱性により、攻撃者は標的となるユーザがさまざまなWebサイトを訪問した際に、そのユーザに悪意のあるスクリプトを実行させることで情報漏えいが起こる可能性がある。この影響は、サ―バ側のクロスサイトスクリプティング（XSS）の脆弱性に類似している。マイクロソフトでは、公開された情報およびこの脆弱性を悪用しようとする検証コードの存在を認識しているという。ただし現時点で、同社は積極的に脆弱性が悪用された兆候は確認していないとしている。なお、この問題には「CVE-2011-0096」が割り振られている。
（吉澤亨史）

http://www.microsoft.com/japan/technet/security/advisory/2501696.mspx

《ScanNetSecurity》