アカウント名:
パスワード:
むかし、conconバグが流行った時に、インターネットサイトにconcon含んだ画像URLはったりすると、見るだけでPCがクラッシュすることがあった似たようなことは起こるのかな?
chromeのURL欄に入力にC:/:$i30:$bitmapを入力してクラッシュさせた例が既にあります。https://twitter.com/raposaodoartico/status/1350093721166090243 [twitter.com]
ブラウザのsame-origin policyの実装によりますが、meta refreshやIMGタグ、javascript等と組み合わせることで、見るだけでクラッシュするWebページを作れる可能性があります。
また、すでに修正済みですが、2020年12月Windows 10 2004/20H2向け更新にchkdskの実行で起動不能になるバグが存在しているので、このバグと組み合わせると起動不能になる可能性があります。https://forest.watch.impress.co.jp/docs/news/1296708.html [impress.co.jp]
現在のブラウザーはユーザーがわざわざURL欄に打ち込まないと攻撃できないよ。conconバグの時代は> meta refreshやIMGタグ、javascript等でwebページからアクセスし放題だったからはるかに攻撃が容易だったけど今はできない。
# ただしIEは「現在のブラウザー」に含めないものとする
本当もう勘弁してください。。。。
なぜそんな過去のブラウザの事で愚痴ってるのか知らんけど・もう使いたくない → 使わなければよい・顧客が使いたがる → とっとと「MSも推奨してませんし、やめましょうよ」と言いなさい・それを言える立場にないコーダーである → iOS Safariでも動くHTML5ゲームを作れ、と言われた時を考えなさい。IE11の方がまだマシと思えるようになる
上のリンクは再起動要求からユーザーの手動再起動だから、クラッシュしてないと思う
元記事か何かの動画だと再起動後、ファイルシステム修復後緑色のエラー画面になって、これはクラッシュしてるただし、その記事についてる他社のコメントだと再現するとか再現しないとか(それぞれどこまでを言ってるか不明)でなんか微妙な気分になる。
症状が様々であまり再現性も高くないってだけの話では
ブラウザの拡張プログラムなんかでリモートコマンド実行脆弱性をそのままにしてるとやられる可能性はあるかも。
今のブラウザ拡張のアーキテクチャだとそれはブラウザの脆弱性じゃ
その中でもいちばん超特大のやつは今月のはじめにようやくとどめを刺せた
concon の時には参照するだけでクラッシュしたはずなので、そのレベルではないですねショートカットも肝は「アイコンの参照先をいじる」ことにあるので、ブラウザ上でアイコンまで指定したショートカットを参照だけで発動させることはできないですし
共有ファイルは大丈夫なんかな。いたずらでファイルサーバ飛ばされたらシャレならんで。
大丈夫じゃないと思うよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
ブラウザ経由でもやられる可能性は? (スコア:0)
むかし、conconバグが流行った時に、インターネットサイトにconcon含んだ画像URLはったりすると、見るだけでPCがクラッシュすることがあった
似たようなことは起こるのかな?
Re:ブラウザ経由でもやられる可能性は? (スコア:2, 興味深い)
chromeのURL欄に入力に
C:/:$i30:$bitmap
を入力してクラッシュさせた例が既にあります。
https://twitter.com/raposaodoartico/status/1350093721166090243 [twitter.com]
ブラウザのsame-origin policyの実装によりますが、meta refreshやIMGタグ、javascript等と
組み合わせることで、見るだけでクラッシュするWebページを作れる可能性があります。
また、すでに修正済みですが、2020年12月Windows 10 2004/20H2向け更新にchkdskの実行で起動不能に
なるバグが存在しているので、このバグと組み合わせると起動不能になる可能性があります。
https://forest.watch.impress.co.jp/docs/news/1296708.html [impress.co.jp]
Re: (スコア:0)
現在のブラウザーはユーザーがわざわざURL欄に打ち込まないと攻撃できないよ。conconバグの時代は
> meta refreshやIMGタグ、javascript等
でwebページからアクセスし放題だったからはるかに攻撃が容易だったけど今はできない。
# ただしIEは「現在のブラウザー」に含めないものとする
IEを破壊して二度と使えなくするバグ希望 (スコア:0)
本当もう勘弁してください。。。。
Re: (スコア:0)
なぜそんな過去のブラウザの事で愚痴ってるのか知らんけど
・もう使いたくない
→ 使わなければよい
・顧客が使いたがる
→ とっとと「MSも推奨してませんし、やめましょうよ」と言いなさい
・それを言える立場にないコーダーである
→ iOS Safariでも動くHTML5ゲームを作れ、と言われた時を考えなさい。IE11の方がまだマシと思えるようになる
Re: (スコア:0)
上のリンクは再起動要求からユーザーの手動再起動だから、クラッシュしてないと思う
元記事か何かの動画だと再起動後、ファイルシステム修復後緑色のエラー画面になって、これはクラッシュしてる
ただし、その記事についてる他社のコメントだと再現するとか再現しないとか(それぞれどこまでを言ってるか不明)で
なんか微妙な気分になる。
Re: (スコア:0)
症状が様々であまり再現性も高くないってだけの話では
Re: (スコア:0)
ブラウザの拡張プログラムなんかでリモートコマンド実行脆弱性をそのままにしてるとやられる可能性はあるかも。
Re: (スコア:0)
今のブラウザ拡張のアーキテクチャだとそれはブラウザの脆弱性じゃ
Re: (スコア:0)
その中でもいちばん超特大のやつは今月のはじめにようやくとどめを刺せた
Re: (スコア:0)
concon の時には参照するだけでクラッシュしたはずなので、そのレベルではないですね
ショートカットも肝は「アイコンの参照先をいじる」ことにあるので、ブラウザ上でアイコンまで指定したショートカットを参照だけで発動させることはできないですし
Re: (スコア:0)
共有ファイルは大丈夫なんかな。いたずらでファイルサーバ飛ばされたらシャレならんで。
Re: (スコア:0)
大丈夫じゃないと思うよ