セキュリティ > セキュリティ情報検索

Exchange Server 5.5 の Outlook Web Access の脆弱性により、クロスサイト スクリプティング攻撃が行われる (895179) (MS05-029)

公開日: 2005年6月15日 | 最終更新日: 2005年6月15日

概要 :

このセキュリティ情報の対象となるユーザー : Microsoft Exchange Server 5.5 Outlook Web Access を実行しているサーバーを使用しているシステム管理者

脆弱性の影響 : リモートでコードが実行される

最大深刻度 : 重要

推奨する対応策 : お客様はセキュリティ更新プログラムの適用を検討してください

含まれる過去の更新プログラム : なし

警告 : なし

この更新プログラムについて、依存関係のあるコンポーネントのバージョンの要件:

この更新プログラムが正常にインストールされるためには、Microsoft Outlook Web Access サーバーに次の 1 つがインストールされている必要があります。

Windows 2000 Service Pack 3 を使用している場合、Internet Explorer 5.01 Service Pack 3

Windows 2000 Service Pack 4 を使用している場合、Internet Explorer 5.01 Service Pack 4

そのほかのサポート対象のオペレーティング システムを使用している場合、Internet Explorer 6 Service Pack 1

Outlook Web Access サーバーの依存関係のあるコンポーネントについて、推薦されるバージョン:

Outlook Web Access サーバーの依存性のあるコンポーネントについて、次のバージョンが推奨されます。

Microsoft Internet Information Services (IIS):

Windows 2000 Service Pack 3 またはそれ以降のバージョン上の Internet Information Services 5.0

Microsoft Internet Explorer:

Internet Explorer 6.0 Service Pack 1

テストしたソフトウェアおよびセキュリティ更新プログラムのダウンロード先 :

影響を受けるソフトウェア :

Microsoft Exchange Server 5.5 Service Pack 4

ダウンロード

影響を受けないソフトウェア :

2004 年 8 月の Exchange 2000 Service Pack 3 以降の更新プログラムのロールアップを適用した Microsoft Exchange 2000 Server Service Pack 3

Microsoft Exchange 2003 Server

Microsoft Exchange Server 2003 Service Pack 1

Exchange 2000 Server Service Pack 3 以降の更新プログラムのロールアップの詳細情報については、サポート技術情報 870540 をご覧ください。

上記のソフトウェアのテストを行い、この脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。ご使用中の製品およびバージョンのサポートライフ サイクルを確認するためには、マイクロソフト サポート ライフサイクルの Web サイト をご覧ください。

ダウンロードこのマークをクリックして、更新プログラムをダウンロードしてください。
更新プログラムをダウンロードおよびインストールする方法は、更新プログラムのダウンロード方法および更新プログラムのインストール方法をご覧ください。

上記のソフトウェアのテストを行い、この脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。

ご使用中の製品およびバージョンのサポートライフ サイクルを確認するためには、マイクロソフト サポート ライフサイクルの Web サイトをご覧下さい。

Top of sectionTop of section

詳細

要点

この更新プログラムは新たに確認され、非公開で報告された脆弱性を解決します。 Exchange Server 5.5 の Outlook Web Access にクロスサイト スクリプティングおよび詐称の脆弱性が存在し、これにより攻撃者がユーザーに悪意のあるスクリプトを実行させる可能性があります。この脆弱性については、このセキュリティ情報の「脆弱性の詳細」の欄で説明しています。

この脆弱性で、攻撃者によりクロスサイト スクリプティング攻撃が行われる可能性があります。

マイクロソフトはお客様にできる限り早期にこの更新プログラムを適用することを推奨します。

深刻度および脆弱性識別番号 :

脆弱性識別番号脆弱性の影響Exchange 5.5 Server

Exchange Server Outlook Web Access の脆弱性 - CAN-2005-0563

リモートでコードが実行される

重要

この評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形態およびこの脆弱性がシステムに及ぼす影響に基づいています。

Top of sectionTop of section

このセキュリティ更新プログラムに関するよく寄せられる質問

Exchange 2000 Service Pack 3 を現在でも使用していますが、どうすればよいでしょうか?

今後の脆弱性の影響を受ける可能性を防ぐため、これらのオペレーティングシステムを使用しているお客様は、サポート対象のバージョンに移行することを強く推奨します。 2004 年 8 月にリリースされた Exchange 2000 Server Service Pack 3 以降の更新プログラムのロールアップは Exchange 2000 のサポートについての必要条件です。ビルド番号は 6603.1 です。 この更新プログラムのロールアップは、2004 年 6 月 29 日以降にリリースされ、6603 以降のビルド番号を持つすべての Exchange 2000 Server の更新プログラムについての必要条件です。

Exchange Service Pack のサポート ライフサイクルに関する詳細情報は、マイクロソフト サポート ライフサイクル をご覧ください。 Exchange 製品のサポート ライフサイクルに関する詳細情報は、マイクロソフト サポート ライフサイクル をご覧下さい。

Microsoft Exchange Server 5.5 Service Pack 4 はライフサイクルが終了している Windows NT 4.0 上に存在しますが、どうすればよいでしょうか?

Windows NT Server 4.0 Service Pack 6a はライフサイクルが終了しました。 Exchange Server 5.5 Service Pack 4 をご使用の場合、必ず Windows 2000 Server を使用してください。 現在でも Windows NT Server 4.0 を使用している場合、できるだけ早期にアップグレードしてください。 詳細情報は、Windows オペレーティング システム FAQ をご覧下さい。

Microsoft Baseline Security Analyzer (MBSA) を使用して、この更新プログラムが必要であるかどうかを確認することはできますか?

: Exchange 5.5 の Outlook Web Access は Exchange サーバーにインストールすることができます。または異なるサーバー上での Exchange のインストールにリンクするスタンドアロンの IIS アプリケーションとしてインストールすることができます。

MBSA により、Outlook Web Access がインストールされた Exchange 5.5 サーバー用のこの更新プログラムが必要かどうかを確認することができます。MBSA に関する詳細はMBSA Web サイト をご覧ください。

MBSA は Outlook Web Access がスタンドアロンの Internet Information Server (IIS) で実行されている場合、Outlook Web Access をサポートせず、またこの場合、この更新プログラムが必要であるかどうかを検出しません。 しかし、マイクロソフトはセキュリティ更新プログラムが必要かどうかを確認するための Enterprise Update Scanning Tool (EST) を開発しました。

Systems Management Server (SMS) を使用して、この更新プログラムが必要であるかどうかを確認することはできますか?

はい。SMS は、このセキュリティ更新プログラムを検出し、展開する支援をします。SMS に関する情報はSMS の Web サイト をご覧ください。Microsoft Windows およびそのほかの影響を受けるマイクロソフト製品を検出するために、Security Update Inventory Tool が必要となります。Security Update Inventory Tool の制限に関する詳細情報は、サポート技術情報306460 をご覧ください。

SMS に関する詳細情報は、次の SMS Web サイト をご覧ください。

SMS の Inventory and Software Distribution (英語情報)の機能を使用して、この更新プログラムを展開することができます。

Top of sectionTop of section

脆弱性の詳細

Exchange Server Outlook Web Access の脆弱性 - CAN-2005-0563:

これは、クロスサイト スクリプティングの脆弱性です。 攻撃者はクロスサイト スクリプティングの脆弱性を悪用し、ユーザーを悪質なスクリプトを実行するように誘導する可能性があります。 この悪質なスクリプトが実行されると、そのスクリプトは、ユーザーのセキュリティ コンテキストで実行される可能性があります。 攻撃者がこの脆弱性を悪用するには、ユーザーの操作が攻撃者にとっての必要条件となります。 この脆弱性により、攻撃者が個人ユーザーにアクセス可能な Outlook Web Access サーバー上のデータにアクセスできる可能性があります。

「Exchange Server Outlook Web Access の脆弱性」の問題を緩和する要素 - CAN-2005-0563:

この脆弱性が悪用されるには、ユーザーがOutlook Web Access (OWA) にログオンしていることが攻撃者にとっての必要条件となります。

次のサポートされている Exchange Server の Outlook Web Access のバージョンは影響を受けません。

2004 年 8 月にリリースされた Exchange 2000 Server Exchange 2000 Service Pack 3 以降の更新プログラムのロールアップの Outlook Web Access

Exchange Server 2003 の Outlook Web Access

Exchange Server 2003 Service Pack 1 のOutlook Web Access

Top of sectionTop of section
「Exchange Server Outlook Web Access の脆弱性」の回避策 - CAN-2005-0563:

マイクロソフトは次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もあります。その場合、下記に記します。

read.asp ファイルを変更する

Read.asp ファイルを変更するためには、次のステップに従ってください。

: 管理者は ファイルを変更することができます。

: これらのステップは各 Outlook Web Access サーバーで実行される必要があります。

1.

メモ帳で Read.asp ファイルを開きます。 このファイルは次のフォルダにあります。

C:\Exchsrvr\Webdata\<lang>\Forms\Ipm\Note

2.

次のコードを探します。

<%= bstrBody %>&nbsp;

3.

ファイルを保存します。

4.

コードを次に変更します。

<%= Server.HTMLEncode(bstrBody) %>&nbsp;

変更は直ちに有効となります。

回避策の影響:

HTML 形式のメールは正しく表示されなくなります。電子メールにユーザーに HTML コードが表示されます。

Exchange サイトで Outlook Web Access を無効にする

Outlook Web Access を無効にするには、次のステップに従ってください。

:これらのステップは各 Exchange サイトで実行される必要があります。

1.

[Exchange 管理ツール] を起動します。

2.

サイトの [構成コンテナ] を拡張します。

3.

サイトの [プロトコル コンテナ] を選択します。

4.

[HTTP (Web) サイトの設定] オブジェクトのプロパティを開きます。

5.

[プロトコルを有効にする] チェックボックスのチェックをはずします。

6.

複製に対する変更を待ち、次にこの変更がサイトの各サーバーに対し複製されたことを確認します。 これを行うために、[Exchange 管理ツール] で各サーバーにバインドし、[プロトコルを有効にする] 設定を確認します。

回避策の影響:

Outlook Web Access を使用してメールボックスにアクセスすることができなくなります。

Outlook Web Access の削除

Outlook Web Access を削除します。 Outlook Web Access の削除方法の詳細は、サポート技術情報 290287 をご覧ください。

回避策の影響:

Outlook Web Access を使用してメールボックスにアクセスすることができなくなります。 Exchange 環境をセキュリティで保護する方法に関する詳細は、Security Resources for Exchange 5.5 (英語情報) をご覧ください。

Top of sectionTop of section
「Exchange Server Outlook Web Access の脆弱性」のよく寄せられる質問- CAN-2005-0563:

どのようなことが起こる可能性がありますか?

攻撃者はクロスサイト スクリプティングの脆弱性を悪用し、ユーザーを悪質なスクリプトを実行するように誘導する可能性があります。 この悪質なスクリプトが実行されると、そのスクリプトは、ユーザーのセキュリティ コンテキストで実行される可能性があります。 攻撃者がこの脆弱性を悪用するには、ユーザーの操作が攻撃者にとっての必要条件となります。スクリプトは Web サイトが許可されている操作をユーザーのコンピュータで行う可能性があります。これには、Web セッションの監視、第三者への情報の転送、ユーザーのコンピュータでのそのほかのコードの実行、Cookie の読み取り、書き込みなどが含まれる可能性があります。

Outlook Web Access とは何ですか?

Microsoft Outlook Web Access (OWA) は Exchange Server のサービスです。 OWA を使用することにより、ユーザーは Web ブラウザを使用して各自の Exchange メールボックスにアクセスすることができます。 OWA を使用することにより、Exchange Server を実行しているサーバーは、Exchange Server を実行しているサーバーは、認証済みのユーザーにインターネット経由でメールの読み取り、送信、予定表の管理、そのほかのメール機能の実行を許可する Web サイトとしても機能します。

何が原因で起こりますか?

Outlook Web Access (OWA) が新しいメールの作成フォームで HTML エンコードを実行する方法が原因でクロスサイト スクリプティング (XSS) の脆弱性が起こります。

クロスサイトスクリプティングとは何ですか?

クロスサイト スクリプティング (XSS) とはセキュリティ上の脆弱性で、これにより攻撃者がユーザーの Web サイトとのセッションにコードを「挿入」する可能性があります。 多くのセキュリティ上の脆弱性と異なり、XSS は単一のベンダー製品にあてはまるわけではありません。しかし、HTML を生成し、防御的なプログラミング対策を講じていないすべてのソフトウェアに影響を及ぼす可能性があります。

クロスサイトスクリプティングはどのような仕組みなのですか?

Web ページはテキストおよび HTML マークアップを含みます。テキストおよび HTML マークアップは、サーバーにより生成され、クライアントにより解釈されます。 静的なページを生成するサーバーは、クライアントがサーバーが送るページを解釈する方法を完全に制御します。 しかし、動的なページを生成するサーバーはクライアントがサーバーの出力を解釈する方法を制御しません。 信頼されないコンテンツが動的なページに導入された場合、サーバーにもクライアントにもこれが起きたことを認識するための十分な情報がなく、保護のための対策を行いません。

どのように攻撃者はこの脆弱性を悪用する可能性がありますか?

攻撃者は特別な細工をしたメッセージをユーザーに送ることにより、この脆弱性を悪用しようとする可能性があります。 次にユーザーが Outlook Web Access を使用してメッセージを開くことが攻撃者にとっての必要条件となります。次にメッセージは影響を受けるコンピュータにユーザーの Outlook Web Access セッションのコンテキストでスクリプトを実行させる可能性があります。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?

Outlook Web Access を介し Exchange Server 5.5 にアクセスするクライアント コンピュータが主にこの脆弱性による危険にさらされます。

Outlook Web Access のすべてのサポートされているバージョンがこの脆弱性の影響を受けますか?

いいえ。Exchange Server 5.5 の Outlook Web Access のみがこの脆弱性の影響を受けます。

どの Exchange サーバーに更新プログラムをインストールする必要がありますか?

この更新プログラムは Exchange Server 5.5 の Outlook Web Access を実行しているサーバーのみを対象にしています。 この更新プログラムは Exchange Server 5.5 の Outlook Web Access を実行していないサーバーにインストールする必要はありません。 しかし、マイクロソフトは後に Exchange 5.5 サーバーを実行しているすべてのそのほかのサーバーが Outlook Web Access Server として指定された場合、これらを保護する手助けとなるように、この更新プログラムをすべてのそのほかの Exchange 5.5 サーバーを実行しているサーバーにインストールすることを推奨します。

この更新プログラムは何を修正しますか?

この更新プログラムは OWA スクリプトの引数を故意に実行できないように、これらが確実にエンコードされるようにすることで、この脆弱性を排除します。

このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?

いいえ。マイクロソフトは信頼される情報元からこの脆弱性に関する情報を受けました。マイクロソフトは、このセキュリティ情報が最初にリリースされた際に、この脆弱性が一般に公開されていたことを示す情報を受けていませんでした。

このセキュリティ情報のリリース時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?

いいえ。このセキュリティ情報が最初にリリースされた段階で、マイクロソフトはこの脆弱性が悪用され、お客様が攻撃されたということを示す情報は受けておらず、また、公開された検証用コードのいかなる実例の存在も確認しておりません。

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

セキュリティ更新プログラムに関する情報

影響を受けるソフトウェア

影響を受けるソフトウェアに関する特定のセキュリティ更新プログラムについての情報は、該当のリンクをご覧ください。

Exchange Server 5.5 Service Pack 4

必要条件

このセキュリティ更新プログラムを適用するには、Exchange Server 5.5 Service Pack 4 上の Outlook Web Access がインストールされている必要があります。

この修正を含む予定のサービスパック

この問題に対する更新プログラムは今後リリースされるサービス パックまたは更新プログラムのロールアップに含まれる予定です。

インストールに関する情報

この更新プログラムを適用するにあたり使用することができるコマンド オプションに関する詳細情報は、サポート技術情報 257946 をご覧ください。

適用に関する情報

ユーザーの操作なしでセキュリティ更新プログラムをインストールするためには、Exchange Server 5.5 Service Pack 4 のコマンド プロンプトで次のコマンドを使用してください。

Exchange5.5-KB895179-x86-jpn.EXE /s

再起動の必要性

このセキュリティ更新プログラムは再起動を必要としません。 しかし、このセキュリティ更新プログラムをインストールすると、Microsoft Internet Information Services (IIS)、Exchange Store および Exchange System Attendant Services は再起動します。 このため、Outlook Web Access を介し、ログオンしているユーザーがいない時に、この更新プログラムをインストールしてください。

削除に関する情報

この更新プログラムを削除するためには、[コントロール パネル] の [プログラムの追加と削除] を使用してください。または次のコマンドをコンソール ウィンドウで実行してください。

%EXCHSRVR%\895179\UNINSTALL\UNINST.EXE

ファイルに関する情報

この更新プログラムの日本語版のファイル属性 (またはそれ以降) は次のとおりです。

Exchange Server 5.5 Service Pack 4:

ファイル名バージョン日付時間サイズ

Cdohtml.dll

5.5.2658.34

2005/4/16

12:34

537,360

Htmlsnif.dll

6.5.6582.0

2002/11/15

11:41

57,344

Safehtml.dll

6.5.7547.0

2005/4/7

10:45

201,728

Cdo.dll

5.5.2658.34

2005/4/16

14:02

808,208

更新プログラムが適用されたかどうかを確認する方法

Microsoft Baseline Security Analyzer

影響を受けるコンピュータにセキュリティ更新プログラムがインストールされていることを確認するためには、Microsoft Baseline Security Analyzer (MBSA) ツールを使用してください。管理者は、一般的なセキュリティ上誤った構成とともに、不足しているセキュリティ更新プログラムについて、ローカルコンピュータおよびリモート コンピュータを Microsoft Baseline Security Analyzer (MBSA) を使ってスキャンすることができます。MBSA に関する追加情報は、Microsoft Baseline Security Analyzer の Web サイトをご覧ください。

ファイルバージョンの確認

: Microsoft Windows にはいくつかのバージョンがあるため、次のステップは使用中のコンピュータにより異なる場合があります。その場合、製品の説明書をご覧ください。

1.

[スタート] をクリックし、次に [検索] をクリックします。

2.

[検索結果] のウィンドウの [検索コンパニオン] の下の [ファイルとフォルダすべて] をクリックします。

3.

[ファイル名のすべてまたは一部] のボックスで、適切なファイル情報の表からファイル名を入力し、次に [検索] をクリックします。

4.

ファイルの一覧で、適切なファイル情報の表からファイル名を右クリックし、次に [プロパティ] をクリックします。

: インストールされているオペレーティングシステムまたはプログラムのバージョンにより、ファイル情報の表に記載されているファイルで、インストールされないものがある場合もあります。

5.

[バージョン情報] タブで、適切なファイル情報の表に記載されているバージョンと比較し、コンピュータにインストールされているファイルのバージョンを確認します。

: ファイルのバージョン以外の属性はインストール中に変更される場合があります。そのほかのファイルの属性をファイル情報の表の情報と比較することは、更新プログラムが正しくインストールされたことを確認する方法としてサポートされていません。また、ファイル名がインストール中に変更される場合があります。ファイルまたはバージョンの情報が存在しない場合、その他の方法によって更新プログラムが正しくインストールされたことを確認してください。

レジストリキーの確認

また、次のレジストリ キーを調べることにより、このセキュリティ更新プログラムがインストールしたファイルを確認することもできます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 5.5\SP5\KB895179\Filelist

注: このレジストリ キーには、インストールされるファイルの完全な一覧が含まれない場合があります。また、管理者または OEM メーカーによって 895179 のセキュリティ更新プログラムを Windows インストール ソース ファイルに統合またはスリップストリーム化されている場合、このレジストリ キーが適切に作成されない場合があります。

Top of sectionTop of section
Top of sectionTop of section

謝辞 :

この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い 謝意 を表します。

iDEFENSE と協力し、「Outlook Web Access の脆弱性」(CAN-2005-0563) を報告してくださった Gaël Delalleau 氏

他のセキュリティ更新プログラムの入手先 :

他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。

セキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「security_patch」 のキーワード探索によって容易に見つけることができます。

コンシューマ プラットフォーム用の更新プログラムは、Microsoft Update Web サイトからダウンロードできます。

本セキュリティ情報及び公開された更新プログラムは、TechNet CD サブスクリプションでも入手可能です。

他のセキュリティ情報 :

Microsoft TechNet Security センター では、製品に関するセキュリティ情報を提供しています。

Microsoft Software Update Services : http://www.microsoft.com/japan/windowsserversystem/updateservices/

Microsoft Baseline Security Analyzer (MBSA) : http://www.microsoft.com/japan/technet/security/Tools/mbsahome.mspx MBSA ツールのセキュリティ更新プログラムの検出に関する制限は http://support.microsoft.com/kb/306460 をご覧ください。

Windows Update カタログ : http://support.microsoft.com/kb/323166

Microsoft Update : http://update.microsoft.com/microsoftupdate/

Office のアップデート : http://office.microsoft.com/officeupdate/

Software Update Services (SUS) :

Microsoft Software Update Services (SUS) は、最新の重要な更新プログラムを適用し、Windows ベースのシステムを最新の状態に維持するプロセスを大幅に簡素化する目的で開発されました。SUS により、重要な更新プログラムを Windows® 2000 や Windows Server™ 2003 ベースのサーバー、ならびに Windows® 2000 Professional や Windows XP Professional を実行するデスクトップ コンピュータへ迅速かつ確実に配布することができます。Software Update Services に関するより詳細な情報は以下をご覧ください:
http://www.microsoft.com/japan/windows2000/windowsupdate/sus/

Systems Management Server (SMS) :

Microsoft Systems Management Server (SMS) は更新プログラムを管理するための、構成可能なエンタープライズ ソリューションを提供します。SMS により、管理者はセキュリティ更新プログラムを必要とする Windows ベースのコンピュータを識別し、エンタープライズ全体で、エンド ユーザーへの中断を最小限にして、これらの更新プログラムの制御された適用を実行することができます。セキュリティ更新プログラムを適用するための SMS 2003 の使用方法に関する詳細情報は SMS 2003 セキュリティ パッチ管理 Web サイトをご覧下さい。SMS 2.0 ユーザーもまた、Software Updates Service Feature Pack を活用して、セキュリティ更新プログラムの適用を支援することができます。SMS に関する情報は SMS の Web サイトをご覧下さい。

: SMS は Microsoft Baseline Security Analyzer および Microsoft Office 検出ツールを活用してセキュリティ情報で提供された更新プログラムの検出と適用について広範なサポートを提供します。これらのツールにより検出されないソフトウェアの更新プログラムもあります。管理者は、特定のコンピュータへの更新プログラムを対象とし、これらの場合に SMS のインベントリ機能を使用することができます。この手順に関する詳細情報は、こちらの Web サイト (英語情報) をご覧下さい。コンピュータの再起動後、管理者権限を必要とするセキュリティ更新プログラムもあります。管理者は、SMS 2.0 Administration Feature Pack の上位権利での展開ツール (SMS Administration Feature Pack および SMS 2.0 Administration Feature Pack でご利用可能です) は、これらの更新プログラムのインストールに使用することができます。

サポート :

セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。
マイクロソフト セキュリティ情報センター

その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償またはインシデントの未消費にてサポートをご提供いたします。

マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。

製品のサポート期間の詳細は、マイクロソフト サポート ライフサイクル Web サイトをご参照ください。製品別情報の詳細は、同様にマイクロソフト サポート ライフサイクル Web サイトの 製品を探すからご確認ください。

詳細情報 :

US マイクロソフトセキュリティ情報(MS05-029)
http://www.microsoft.com/technet/security/bulletin/ms05-029.mspx

サポート技術情報 (KB) 文書番号 :895179
[MS05-029] Exchange Server 5.5 の Outlook Web Access の脆弱性により、クロスサイト スクリプティングによる攻撃が実行される

更新履歴 :

2005/06/15: このセキュリティ情報ページを公開しました。

本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。-


ページのトップへページのトップへ