[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:01238] Re: MS02-019 (was Re: fragroute(IDS テスター・・?) &more)
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:01238] Re: MS02-019 (was Re: fragroute(IDS テスター・・?) &more)
- From: "shikap@xxxxxxxxxxxx" <shikap@xxxxxxxxxxxx>
- Date: Thu, 18 Apr 2002 15:03:32 +0900
------------------------- infoseek ML Sponsor -------------------------
━━━◆オリックス&infoseek特別入会プレゼントキャンペーン中!◆━━━
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
貴方の街で使えるオリックスVIPローンカードに申込んで商品券をゲット
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
詳細は→ http://bishop.va-cats.com/cgi-bin/vts/va0/ID=000450800572
-----------------------------------------------------------------------
しかPっす。
At 2:13 PM +0900 02.4.18, ISHIKAWA Yasuhisa wrote:
> >っていうか、利便性は二の次にするんだったら例の自動実行問題をなんとか
>>して欲しいぞ>MS
>>こっちの方が↑の通り、めちゃめちゃ痛いと思うんですけどねぇ。
>
>あの件に関わっている方々とメールを交わしていたのですが、
>>>2.Local Applescript Invocation (CAN-CVE-2002-0153)
>の件、どうもAppleScriptに対応したっていうんじゃなくて、
>metaタグにfile:///〜って書く事でローカルファイルを実行
>してしまうってのに対応したんじゃないかという話が。
>
># そー言えば、AppleScriptって言ってるのはMSだけの様な。
># 単にMSの方でAppleScritpで検証しただけなんじゃないか
># って気がしたり。
試してみました。
テストページはこちら。
http://www.u-struct.com/diary/img/20020126_IE5issue_noJS/
このページはAppleScript自動起動、ですよね?
違ってたりして(苦笑)
#5.1(対策前版)はOSXにしか入っていないので、面倒です(^^;
で、
5.0 on OS9:自動実行
5.1 on OSX:失敗(ただし一般権限アカウント、管理者は試してない)
5.1.4 on OS9:失敗(ダイアログ出現)
というわけでmetaタグのfile://かどうかは知りませぬが、実行に対し
ダイアログで警告するようになったようですね。
取り急ぎのチェックなので勘違いしてるかもしれないけど・・・・(^^;
もちろん、QTのAutoStartはさっくりできました。
いじょ。報告まで。
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
しっ知らない間に増えてるぅ!
http://toolbar.www.infoseek.co.jp/Skin?pg=skin_12_if.html&svx=971122