- マイクロソフト セキュリティ アドバイザリ (911302): Internet Explorer の不適切な Document Object Model オブジェクトの処理方法による脆弱性のため、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/911302.mspx - Internet Explorer の JavaScript の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2005/at050010.txt - 攻撃目的に悪用されないと思われていたIEの脆弱性に攻撃コードが出現
http://internet.watch.impress.co.jp/cda/news/2005/11/22/9951.html - セキュリティホール memo
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/11.html#20051122_IE
少し前のネタですが注意喚起。
IE 5.01 / 5.5 / 6 にJavaScript がらみの脆弱性が発見されました。
この脆弱性を悪用されると、とあるWeb ページやHTML メールを見ただけで任意のプログラムを実行されてしまう可能性があります。既に検証用の実証コードも公開されており、ページのリンクをクリックするだけで電卓が表示される、とのこと。今試した環境ではウィルス対策ソフトが盛大にアラートを出してくれたので何も起こらなかったです。
現時点ではまだこの脆弱性に対するセキュリティ修正プログラムは出ていませんので、リリースされるまではIE の[インターネット オプション]-[セキュリティ] タブ内の[インターネット] ゾーンと[イントラネット] ゾーン で、[レベルのカスタマイズ...]-「アクティブ スクリプト」 を[無効] にしてJavaScript を実行できないようにするのが一番簡単で安全です。その代わりJavaScript 使ってるWeb ページは全く見られなくなりますけど。
もしくは、[無効] にする代わりに[ダイアログを表示する] にするのも可ですが、Web ページのつくりによってはアクティブスクリプトの実行を求めるダイアログが盛大に出ることになりますので、IE の上にかぶさってJavaScript の有効 / 無効 を指定できるSleipnir のようなブラウザを使う、などのほうが柔軟性があってよろしいかと。
あと、その下にある[スクリプトによる貼り付け処理の許可] は不要であれば[無効] にしておきましょう。bookmarklet などの実行で必要な場合は[ダイアログを表示する] に。でないと、知らないうちにクリップボードの中身がネットのどこかにコピーされてしまうかも…。
- あなたのクリップボードが盗まれる - Ceekz Logs
http://private.ceek.jp/archives/001639.html
「また脆弱性か!! いい加減しつこい!!」 とか思ってノーガードになるのもひとつの選択かもしれませんが、知らないうちに自分の情報がどこかに漏洩していい事はないので、出来る対策はきちんとしておきましょう。もちろん、なんらかのウィルス対策ソフトを入れておくのは必須ですよ。