パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows XP, Vista などに深刻な脆弱性、ゼロデイ攻撃あり」記事へのコメント

  • by T.Sawamoto (4142) on 2007年03月31日 0時02分 (#1135003)
    ITmediaの記事中で
    同社によれば、Windows VistaでInternet Explorer(IE)7を使っている場合は、IE 7の保護モードにより、現在報告されているWebベースの攻撃からは守られる。
    とありますが、これは多分、「信頼済みサイト」に登録していないサイトを表示するときに働くものですよね?

    この保護モードで動作中のIE7上では、IMEでユーザ辞書が使用できないという、個人的には噴飯ものの仕様になっています。
    登録した単語を Windows Vista の Internet Explorer 7.0 で使用できない [microsoft.com]
    この問題を回避するには、Internet Explorer 7 の [信頼済みサイト] にユーザー辞書を利用して登録済み単語を入力するサイトを登録します。
    この「回避策」に従って、日本のユーザが自分の訪問するサイトをかたっぱしから「信頼済みサイト」に登録していないか、とても心配です。もちろん、その直下に
    以下の手順を実行すると、セキュリティ リスクが高まるおそれがあります。また、悪意を持ったユーザーまたはウイルスなど悪質なソフトウェアによる攻撃をコンピュータまたはネットワークが受けやすくなる場合もあります。これらの変更を行う前に、記載された回避策を現在の環境に適用した場合の危険性を評価することをお勧めします。
    と警告されていますけど……。

    ユーザ辞書には個人情報がかなり含まれているでしょうから、保護するのも分からないわけではありません。
    しかし、日本語入力環境にてIMEのユーザ辞書がどれほど重要なのか、Microsoftは理解していないように思います。
    この仕様には疑問を感じざるを得ません。
    • とはいえ、実際の所、かなり重要な個人情報だしなぁ。。
      さすがに、オプションかなんかで使えるようにできるってくらいの仕様でいいと思いますが。

      # 大学のとあるテキストで「校曲線」ってのがあった。
      # 先生、テキスト作りながら女子高^h校生について調べてたのかなぁ、と疑ってしまった。
      --
      1を聞いて0を知れ!
      親コメント
    • ユーザ辞書には個人情報がかなり含まれているでしょうから、保護するのも分からないわけではありません。

      KBには

      これは、悪意のあるプログラムがユーザー辞書を利用して異なる整合性レベルのアプリケーションへ影響を及ぼす可能性を排除するための、セキュリティ上の仕様です。

      って書いてるじゃん。「悪意のあるプログラム」ってまさに今回のexploitを攻撃するようなプログラムのことでしょ。単に個人情報の問題で隔離してるわけではない。

      ちなみにATOK 2007だとIE7の保護モードでも単語登録できるみたいです。裏を返せば、ATOK 2007を使ってる場合Vista + IE7でも今回のような攻撃から保護されないかもしれないということですが。

      • 「異なる整合性レベルのアプリケーション」って、一般ユーザ向けの説明としてはひどい文言だなあ。
        こんな言葉を理解したつもりにならない限り、「なんだか知らないけど、信頼済みサイトに登録しないと
        自分で辞書登録した単語は出て来ないんだって」という voodooistic な理解に陥ってしまうんでしょ?

        一般人はおとなしく XP で Firefox 2.0 を使っている方がいいらしい。
        親コメント
        • MSKKの日本語訳の酷さは今にはじまったことではありません。
          「KBなんか一般人は見ねーだろ」と思っているからなのか機械翻訳されたものがほとんどです。
          こうなるとMSKKが何のために存在しているのかがさっぱりわからない。
          # 製品を売るための部隊とサポート要員だけ?って気がしてくる。

          技術的なことはMSに任せっぱなし、MSKKではほとんど行なっていないようです。
          ちゃんとしたサポートがほしけりゃインシデント払えってことなんでしょう。
          親コメント

アレゲは一日にしてならず -- アレゲ見習い

処理中...