これは正確ではありません。 object 要素の codebase 属性に任意のプログラムが指定できてしまうというのは既知の弱点で、 Force Feeding [ryukoku.ac.jp] (2000年6月)でも使われています。
Force Feeding のときは、別の弱点と組み合わせることで ActiveX も active scripting も無効な環境でも攻撃が成功してしまいましたが、今回の指摘も同様です。今回は The Pull 氏 [osioniusx.com]が active scripting が有効なら同じ弱点 [rr.com]
問題なのは (スコア:5, 参考になる)
これは正確ではありません。 object 要素の codebase 属性に任意のプログラムが指定できてしまうというのは既知の弱点で、 Force Feeding [ryukoku.ac.jp] (2000年6月)でも使われています。
Force Feeding のときは、別の弱点と組み合わせることで ActiveX も active scripting も無効な環境でも攻撃が成功してしまいましたが、今回の指摘も同様です。今回は The Pull 氏 [osioniusx.com]が active scripting が有効なら同じ弱点 [rr.com]
鵜呑みにしてみる?
回避方法 (スコア:2, 参考になる)
と思っていたら、フィルタが用意されていました [dti.ne.jp]。パッチが出るまで、IEを使う必要がある場合はこれを使うのが確実でしょう。
責任ある開示 (スコア:1)
セキュリティー・ソフトのベンダーにも連絡すると、脆弱性を利用したワームの出現に備えた定義ファイルを用意しておけますね。なるほどなるほど。
#既に常識なのかな?