[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:01237] Re: MS02-019 (was Re: fragroute(IDS テスター・・?) &more)

------------------------- infoseek ML Sponsor -------------------------
━━━◆オリックス&infoseek特別入会プレゼントキャンペーン中!◆━━━
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
   貴方の街で使えるオリックスVIPローンカードに申込んで商品券をゲット 
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
詳細は→ http://bishop.va-cats.com/cgi-bin/vts/va0/ID=000450800572
-----------------------------------------------------------------------


石川@テンパってるんでちょっとだけ、です。

on Thu, 18 Apr 2002 12:35:58 +0900,
shikap@xxxxxxxxxxxx <shikap@xxxxxxxxxxxx> wrote :

>しかPです。

>っていうか、利便性は二の次にするんだったら例の自動実行問題をなんとか
>して欲しいぞ>MS
>こっちの方が↑の通り、めちゃめちゃ痛いと思うんですけどねぇ。

あの件に関わっている方々とメールを交わしていたのですが、
>>2.Local Applescript Invocation (CAN-CVE-2002-0153)
の件、どうもAppleScriptに対応したっていうんじゃなくて、
metaタグにfile:///〜って書く事でローカルファイルを実行
してしまうってのに対応したんじゃないかという話が。

# そー言えば、AppleScriptって言ってるのはMSだけの様な。
# 単にMSの方でAppleScritpで検証しただけなんじゃないか
# って気がしたり。

んなので、QuickTimeのAutoStartを利用した手法には対応
できませんが、少なくともIE単体で、既存のフルパスの
ファイルだろうと、ディスクイメージで作り出した任意の
パスのファイルだろうと、実行できなくなる様に対応した
んじゃないかって話です。

# 話です。って他人事な口調なのは私がまだアップデート
# かましてないからです(汗)。
# 検証してる余裕もなし。

まぁAutoStartが利用できる内は(と実は後一つ問題が
ありそうなんですが)安心出来ないとは言え、一応の
対応をMSがしたって事なんじゃないんですかね。などと。

詳しくはその内どこかに載るかと。
私もその内検証する予定です。

# ってゆーか、あのドキュメントに手を入れるのが...。

-- 
VIRTUAL MONKEYS
石川 泰久
vm@xxxxxxxxxxxxxxxxxx
http://homepage.mac.com/vm_converter/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
           しっ知らない間に増えてるぅ!
 http://toolbar.www.infoseek.co.jp/Skin?pg=skin_12_if.html&svx=971122