アカウント名:
パスワード:
最初からとか何かのおまけでパソコンに入ってるActiveXとかもうきりがないからIE上で初めて使われるActiveXは、初回にダイアログor通知バーを出すとかしたらいいんじゃないかな。
> IE上で初めて使われるActiveXは、初回にダイアログor通知バーを出すとかしたらいいんじゃないかな。その機能ならすでにあります(ただしイケメンIE7以降に限る)。「ActiveXオプトイン」でぐぐってみてください。
情報ありがとうございます。FirefoxユーザになったのでIE7以降は知りませんでした。
ということは実質この0-dayがユーザーの許可なしに表示しただけで実行されるにはXP以前でかつIE6以前のユーザのみ。ということなんですね。IEユーザならぜひ7,8にアップデートしてほしいところです。
あと「ダイアログor通知バー」と書きましたが、「情報バー」とすべきでした。ただFirefoxのIETabユーザは情報バーが実装されていないので、どちらにせよ注意ですが。
ということは実質この0-dayがユーザーの許可なしに表示しただけで実行されるには XP以前でかつIE6以前のユーザのみ。 ということなんですね。
MicrosoftのアドバイザリではIEのバージョンやActiveXオプトインについて一切言及していなかったのでその点について確信が持てなかったのですが、ISC SANSの脆弱性情報 [sans.org]に攻撃コード(の一部)が載っていたので試してみたところ、確かに情報バーが出てブロックされました。
ただ、ゼロデイ攻撃を受けたときにどんなメッセージが出るのかあらかじめ知っていないと「このWebサイトは、'Microsoft Corporation'からの'ActiveX control for streaming video'アドオンを実行しようとしています。Webサイトとアドオンを信頼し、アドオンの実行を許可するには、ここをクリックしてください...」というメッセージを見てうっかり実行を許可してしまうかもしれません。発行者はMicrosoftですし。
回避策のパッチを当てると、情報バーも出ずに問答無用でブロックされます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
ActiveXの有効化 (スコア:1)
最初からとか何かのおまけでパソコンに入ってるActiveXとかもうきりがないから
IE上で初めて使われるActiveXは、初回にダイアログor通知バーを出すとかしたらいいんじゃないかな。
Re: (スコア:0)
> IE上で初めて使われるActiveXは、初回にダイアログor通知バーを出すとかしたらいいんじゃないかな。
その機能ならすでにあります(ただし
イケメンIE7以降に限る)。「ActiveXオプトイン」でぐぐってみてください。Re: (スコア:2, 参考になる)
情報ありがとうございます。
FirefoxユーザになったのでIE7以降は知りませんでした。
ということは実質この0-dayがユーザーの許可なしに表示しただけで実行されるには
XP以前でかつIE6以前のユーザのみ。
ということなんですね。
IEユーザならぜひ7,8にアップデートしてほしいところです。
あと「ダイアログor通知バー」と書きましたが、「情報バー」とすべきでした。
ただFirefoxのIETabユーザは情報バーが実装されていないので、どちらにせよ注意ですが。
Re:ActiveXの有効化 (スコア:1, 参考になる)
MicrosoftのアドバイザリではIEのバージョンやActiveXオプトインについて一切言及していなかったのでその点について確信が持てなかったのですが、ISC SANSの脆弱性情報 [sans.org]に攻撃コード(の一部)が載っていたので試してみたところ、確かに情報バーが出てブロックされました。
ただ、ゼロデイ攻撃を受けたときにどんなメッセージが出るのかあらかじめ知っていないと「このWebサイトは、'Microsoft Corporation'からの'ActiveX control for streaming video'アドオンを実行しようとしています。Webサイトとアドオンを信頼し、アドオンの実行を許可するには、ここをクリックしてください...」というメッセージを見てうっかり実行を許可してしまうかもしれません。発行者はMicrosoftですし。
回避策のパッチを当てると、情報バーも出ずに問答無用でブロックされます。