IE に任意の HTML をダウンロードさせ実行させられる二つの欠陥
2004-10-21 08:44
Secunia の勧告 によれば、Microsoft Internet Explorer (IE) に二つの重要な欠陥が新たに見つかったとのこと。
1つ目は、CAN-2004-0839 に関連した欠陥で、画像や動画などのファイルをインターネットゾーンからローカルにドラッグ・アンド・ドロップした際に、悪意のあるサイトが任意の HTML を保存できるというもの。
2つ目は、IE に組み込まれている HTML Help コントロールにセキュリティの欠陥があり、たとえばリモートの索引ファイル(index.hhk 等)を用いてローカルの HTML ファイルを実行できというもの。1つ目の欠陥と組み合わせれば、HTML に埋め込んだ任意のスクリプトを実行させられてしまいます。
回避方法は ActiveScript の実行をすべて無効にするか、他のブラウザを利用すること。 とはいえ、他のブラウザをデフォルトにして使っていても MSN Messenger などでリンクをクリックすると IE が立ち上がってまいますので、ActiveScript を無効にする設定は実施した方がよいでしょう。
ブラウザ関連のセキュリティバグ二つ
タブ機能のセキュリティバグ IEで複数窓を開いていると、他の窓のURLをリファラーとして送信してしまう事があるとかいう話を聞いた事が有る気がしますが、その辺も一緒に直していただけると嬉しいです。 タブウィンドウで悪質なウェブサイトを開くと、そのサイトから別…
トラックバック by k-MT — 2004-10-21 13:30
IE6 にパッチ未公開の新たな欠陥。悪用の可能性大
ITmedia の記事 経由、Secunia の勧告より。IE6 にパッチ未公開の欠陥が見つかりました。危険度は「最大」。 この脆弱性の存在が指摘されているのは、Windows 2000/Windows XP Service Pack 1とIE 6の組み合わせだ。IFRAMEタグを悪用して仕掛けを施したHTMLファイルを読…
トラックバック by 津田ふみかの日記 — 2004-11-4 10:17