パスワードを忘れた? アカウント作成
14961478 story
インターネットエクスプローラ

Microsoft、IE11でjscript.dll実行をブロックするオプションを10月の月例更新で追加 10

ストーリー by nagazou
レガシー 部門より
headless 曰く、

Microsoftは13日、10月の月例更新でInternet Explorer(IE) 11のJscript(jscript.dll)実行をブロックするオプションをWindowsおよびWindows Serverに追加したことを発表した(Windows IT Pro Blogの記事KB4586060)。

jscript.dllはECMA-262のMicrosoftによるレガシーな実装であり、IE11ではレガシードキュメントモード(IE9以前のバージョン)を使用するサイトでのみ使われる。jscript.dllの脆弱性たびたび見つかっているが、パッチが提供されるまでの緩和策としてはファイルのアクセス許可を変更するしか方法がなく、Windows Scripting HostのJavaScriptエンジンが使用できなくなるなどの問題があった。ただし、オプションが追加されたといっても「インターネットオプション」からは設定できず、レジストリの編集が必要であり、インターネットゾーンと制限付きサイトゾーンでの無効化が推奨されている。

KB4586060には2017年にリリースされたIEの累積的なセキュリティ更新プログラムが必要と書かれているが、該当のレジストリ値は10月の更新プログラムをインストールした環境にしか存在しなかった。また、「MSXMLのスクリプト」で解説されているレジストリキーは10月の更新プログラムインストールしても追加されなかった。なお、64ビット環境で実行される32ビットアプリケーションに関する手順は間違っているが、その上で解説されている手順のレジストリキーを読みかえて設定すればよさそうだ。

  • by Anonymous Coward on 2020年10月16日 9時44分 (#3907455)

    各ゾーン設定では
    スクリプトもActiveXも.net framework依存系も
    各種無効を設定できるけど効果がないんですかね?

    マイコンピュータゾーンは
    レジストリいじらないとUIでの変更はできませんが
    インターネットゾーンなどは
    静的コンテンツのみ向けにセットしておけば
    レジストリいじらなくてもいけるはずかと
    項目多いんで面倒ですが

    それが効果なく突破されるとなると
    でっかい脆弱性ってことになる気が。。。

    ここに返信
    • by Anonymous Coward

      レガシードキュメントモードのページは壊れても仕方ないけど、IE9モード以降のページでは無効にしたくないという需要があるのでは

  • by Anonymous Coward on 2020年10月16日 11時41分 (#3907528)

    IE11で頑張るならせめてES6対応早くしろよ
    シェア持ってるくせにこの体たらくとか、本当迷惑なんだけど
    # Edgeとかいうブラウザの進捗どうなったの?立ち消え?

    ここに返信
    • by Anonymous Coward

      IE11で頑張ってないでしょ。EdgeはChromeベースでもうデフォルトだし。

    • by Anonymous Coward

      ES6対応なんか誰の益にもならない。
      過去のIEに特化したサイトが壊れる上、IEがまた延命する。
      MSの望みはIEの安楽死。強引に進めるとあーだこーだ言われるからひっそりと衰退させてるのが今のフェーズ。

    • by Anonymous Coward

      無知によるものか信仰心によるものかは知らんが、社会にとっては君のような人間の存在のほうが迷惑だということに気付いた方が良いよ?

    • by Anonymous Coward

      ガイジwww

    • by Anonymous Coward

      Microsoftは、IEで頑張る気なんて全くないでしょ。
      シェアを減らす為に、Windows UpdateでデフォルトブラウザをEdgeに強制的に切り替えてる。

    • by Anonymous Coward

      知らないなら黙ってりゃいいのに…。

  • by Anonymous Coward on 2020年10月16日 23時17分 (#3908137)

    生きとったんかワレ!
    chakraだけ残してWSHも抹殺すればいいのに。

    ここに返信
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...