- PR -

【情報】今IEがメラ危険です。

1
投稿者投稿内容
ほむら
ぬし
会議室デビュー日: 2003/02/28
投稿数: 583
お住まい・勤務地: 東京都
投稿日時: 2003-12-01 11:09
ども、ほむらです。
今、ぶらぶらしていたらIEのセキュリティホールで危険なものが
MSの知らないところで公開されてしまったらしいとの記事を発見。

ということでネットサーファーなIE利用者は要注意。
良くわからない人はとりあえず
画像以外は許可しない(無効にする)方向でいったほうが良いかもしれません。
[ツール]-[インターネットオプション]-[セキュリティ]のインターネットゾーンで
変更できます。

http://www.zdnet.co.jp/enterprise/0311/26/epi02.html

#誤字の修正
#と一部アドレスの削除


[ メッセージ編集済み 編集者: ほむら 編集日時 2003-12-01 11:53 ]
おばけ
ぬし
会議室デビュー日: 2002/11/14
投稿数: 609
お住まい・勤務地: 東京都江東区
投稿日時: 2003-12-01 11:16
引用:


  • リダイレクション機能が、見知らぬWebサイトにあるファイルの実行を差し止めるはずのExplorerのセキュリティ機能をバイパスしてしまう
  • つまり、このセキュリティホールを悪用されると、悪意あるファイルがダウンロードされ、ユーザーのシステム上で実行される可能性がある


ダメダメっすね、、、
リダイレクト先に何か実行ファイルが置いてあったらダメなのか。こんなの何でバグが残ってるんでしょう。
他の機能を有効にすることによってエンバグしたのかな。
ほむら
ぬし
会議室デビュー日: 2003/02/28
投稿数: 583
お住まい・勤務地: 東京都
投稿日時: 2003-12-01 11:51
ほむらです。
なんかリダイレクト先のファイルをローカルにダウンロードして
自動的に実行してしまうような感じですねー

件のセキュリティホールのデモコードです。
http://www.safecenter.net/UMBRELLAWEBV4/threadid10008/threadid10008-Demo

デモなのでhello!とか表示するだけですけど。
ここにスクリプトが記述されてあった場合のことを考えると
すごく怖いですよね。。。。
location.hrefがローカルのパスを表示しているのがミソでしょう。

このデモでは、HTMLのファイルを実行する形なのでこの程度ですけど
ローカルのファイルにアクセスできている時点でexeでも何でもいけるんですよね。
startコマンドで実行できるものは全て。。。

あ〜こわいこわい。
このパッチがでるのはいつでしょうかねー。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2003-12-01 11:59
ども。がるです。
なんていうか、IEのセキュリティホールに関しては「またですかぁ」という感覚が強いのですが :-P

まぁ今回のホールは、そうは言っても巨大だとは思うのですが。
どうも最近(というかずいぶん前から)Windowsのセキュリティホールへの感覚が麻痺しがちで…。

ちなみに、ここを見ている程度にスキルのある(あるいは技術に興味のある)かたで、特に警戒なくIEを使ってる人ってどれくらいいるんでしょうか?
# ちなみに私はOpera。いやまぁ、十分ホールあるしバグあるんですが…

ついでに、なにかお勧めのブラウザとかあれば聞いてみたいかもしれないです。
# BeckyさえLinuxに移植してしまえば、Windows使う理由がほとんどなくなるのだが…
# ちなみにシルフィード(スペル忘れた)はどうももう一つなじめない(^^;
おばけ
ぬし
会議室デビュー日: 2002/11/14
投稿数: 609
お住まい・勤務地: 東京都江東区
投稿日時: 2003-12-01 12:34
引用:

なんかリダイレクト先のファイルをローカルにダウンロードして
自動的に実行してしまうような感じですねー

熱すぎですね(笑)

引用:

件のセキュリティホールのデモコードです。
http://www.safecenter.net/UMBRELLAWEBV4/threadid10008/threadid10008-Demo

早速こわごわアクセスして見ました。
既にセキュリティでアクティブスクリプトの実行を無効にしたので、一応HTMLファイルを実行するかどうかを尋ねるダイアログが表示されますね。

引用:

ローカルのファイルにアクセスできている時点でexeでも何でもいけるんですよね。

ありえないですね、、、こんな仕様(?)

[ メッセージ編集済み 編集者: おばけ 編集日時 2003-12-01 12:34 ]
おばけ
ぬし
会議室デビュー日: 2002/11/14
投稿数: 609
お住まい・勤務地: 東京都江東区
投稿日時: 2003-12-01 12:37
引用:

ちなみに、ここを見ている程度にスキルのある(あるいは技術に興味のある)かたで、特に警戒なくIEを使ってる人ってどれくらいいるんでしょうか?

IEベースのタブブラウザ"Sleipnir"というのを使っています。
Windows Updateは日課ですが、、、

引用:

# BeckyさえLinuxに移植してしまえば、Windows使う理由がほとんどなくなるのだが…
# ちなみにシルフィード(スペル忘れた)はどうももう一つなじめない(^^;

Sylpheedはなかなか良いと思うんですが、不満はキーバインドですか??
もしそうならカスタマイズできますけれど。。。


[ メッセージ編集済み 編集者: おばけ 編集日時 2003-12-01 12:37 ]
ほむら
ぬし
会議室デビュー日: 2003/02/28
投稿数: 583
お住まい・勤務地: 東京都
投稿日時: 2003-12-01 13:35
どもほむらです。
僕も同じくspleipnir使用しています。
便利でよい感じがしてすきですね。

ちなみに、セキュリティチェックはインターネットオプションはデフォルトのままにして
sleipnirのほうで画像以外を無効にしています。
IEコンポーネントを使用している都合上だと思うのですが制限としては
インターネットオプションでの設定が優先らしいので

IEはHTTPヘッダをもっと厳密に解釈するべきといわれつづけて数年ぜんぜん直らず。。。
ここまでくるとMSのホームページがIE仕様になっていて修正すると
閲覧できなくなるから修正しないのだと思えてくる^^;

ライトユーザーのために便利さを追求するのもいいけどもう少し
考え直してほしいものではありますね。

#追記
#僕はなんの警戒も無くIE使っているほうだと思います。
#そういう危険なサイトには行かないというのが一番大きい理由でしょうか。
#といっても前述のように僕にとって必要の無いものは無効にする方向になっているのと
#たまにはプロクシ経由で閲覧する場合もありますが^^;;;;;
#串を刺すとレスポンスが悪いのでどうもすきになれません(汗)
#書き込みをするときくらいかな串刺すのって

[ メッセージ編集済み 編集者: ほむら 編集日時 2003-12-01 13:41 ]
1

スキルアップ/キャリアアップ(JOB@IT)