Re:試してみたけど (#676459) | IE6/SP2に致命的な3つの脆弱性

「IE6/SP2に致命的な3つの脆弱性」記事へのコメント

記事ページを表示すべてのコメント取得

検索149コメント Log In/Create an Account

試してみたけど (スコア:0)

by Anonymous Coward

スクリプトエラーで実行できないんですけど orz
- Re:試してみたけど (スコア:2, 参考になる)
  
  by hir_000 (2322)
  
  secuniaのサンプルはXP SP2+IE6SP1だからかも知れないけど、
  自分の2000SP4+IE6SP1では動かなかった。
  「現在のセキュリティ設定では、このページのActiveXは
  実行できません（略」だと。
  
  HHCtrl.ocxの脆弱性を突いているようだけど、
  exploitで実行しようとしているメソッドが
  2000にはない模様。
  
  自分の2000に入っているHHCtrl.ocxのバージョンが5.2.3735.1
  exploitのobjectタグに入っているのが5,2,3790,1194
  呼び出そうとしているメソッドはHHClick
  このメソッドがXPのocxにしかないのかもしれず。
  手元にXPないのでわかりません。
  
  HHCtrl.ocxの脆弱性が全OS共通なら2000もPoCが
  動
  - Re:試してみたけど (スコア:1, 参考になる)
    
    by Anonymous Coward on 2005年01月10日 13時10分 (#676459)
    
    secuniaのexploitは、「windowsのシステムが`c:\windows'に有るシステムを前提に作ってある」、
    と説明に書いてあります。
    Windows2000では`c:\winnt'がデフォルトになっているはずなので、このexploitは動作しないはずです。
    あえて`c:\windows'にインストールしていない限り。
    
    シェア
    
    親コメント
    - Re:試してみたけど (スコア:3, 参考になる)
      
      by hir_000 (2322) on 2005年01月10日 14時49分 (#676504) 日記
      
      ソース中、objectタグにhhctrl.ocxのバージョンを指定している箇所があります。
      codeBase=hhctrl.ocx#Version=5,2,3790,1194 の#以降
      
      これが多分新しすぎてXP以降でしか動かないんでしょう。
      
      ローカルに保存して、バージョン指定を削除してから動かしたら
      やっぱり2000SP4でも動きました。
      やばいよねえ……
      
      シェア
      
      親コメント
      - Re:試してみたけど (スコア:1)
        
        by Lizy (19775) on 2005年01月11日 3時20分 (#676833)
        
        正確な確認方法が分からないので的外れかもしれませんが、ローカルに保存したものを実行した場合、セキュリティゾーンが「マイコンピュータ」（あるいはイントラネットとか）で実行されていたということは無いでしょうか。
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

IE6/SP2に致命的な3つの脆弱性 More ログイン

「IE6/SP2に致命的な3つの脆弱性」記事へのコメント

試してみたけど (スコア:0)

Re:試してみたけど (スコア:2, 参考になる)

Re:試してみたけど (スコア:1, 参考になる)

Re:試してみたけど (スコア:3, 参考になる)

Re:試してみたけど (スコア:1)

スラド