アナログ
RSS  
<< 2011/01 >>
01
02 03 04 05 06 07 08
09 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

RSS

Windows:MHTMLに脆弱性2011/01/29 16:03

なんと訳せばいいのか分からないのでチンプンカンプンな事を書いてるかも知れません。m(_ _)m

MHTMLに脆弱性が見つかって、ひょっとするとPDFなど他のアプリにに埋め込まれて悪用されるかもなことらしい。
アドバイザリによると対象はサーバを含めた現行Windows全て。

Microsoft Security Advisory for MHTML via Internet Explorer (MS2501696/CVE-2011-0096)

アドバイザリはまだ英語だけ

マイクロソフト セキュリティ アドバイザリ (2501696): MHTML の脆弱性により、情報漏えいが起こる
Microsoft Security Advisory (2501696): Vulnerability in MHTML Could Allow Information Disclosure
Impact of workaround. The MHTML protocol will be restricted to prevent the launch of script in all zones within an MHTML document. Any application that uses MHTML will be affected by this workaround. Script in standard HTML files is not affected by this workaround.

Fix itでアドバイザリの暫定処置が簡単に適用できます。
Microsoft Security Advisory: Vulnerability in MHTML could allow information disclosure

副作用はMHTMLが全てのアプリから使えなくなるのかな?

昨年はAdobeの0-dayオンパレードで、今年はWindowsの0-day……ひっきりなしで 憑か 疲れる。orz

-追記-
なんだ日本語の記事あった……

MHTML に未対応の脆弱性、Microsoft が勧告を公開 - japan.internet.com
Microsoft は28日、セキュリティ勧告を公開し、新たに見つかった脆弱性への注意を促した。『Windows』の全バージョンに影響するこの脆弱性では、Eメール メッセージで異なる種類のメディアをまとめて転送する一般的な手法が悪用されるおそれがある。

(中略)

攻撃が成功してもシステム全体を乗っ取られるわけではなく、「意図しない情報の開示」が可能になるにすぎないが、インターネット上ではすでに同脆弱性の概念実証コードが公開され、議論が交わされていることから、Microsoft では緊急性が高いと判断し、ただちにセキュリティ担当者に警告することとなった。

週があけたらきましたよと

Windowsに新たな脆弱性が発覚、情報流出の恐れ
 攻撃者がこの問題を悪用した場合、不正なHTMLリンクを作成して標的とするユーザーにクリックさせ、Internet Explorerのセッション中に悪質なスクリプトを実行させて、コンテンツを偽装したり、情報を流出させたりすることができてしまう恐れがあるとされる。

 アドバイザリーでは当面の攻撃を防ぐための対策として、MHTMLプロトコルのロックダウンを挙げている。この設定を自動的に適用・解除できる「Fix-it」ツールの提供も開始した。

JVNVU#326549: Microsoft Windows にスクリプトインジェクションの脆弱性

by puppet [PC] [セキュリティ] [コメント(0)トラックバック(0)]

IE6の表示が崩れていた2011/01/29 18:05

ので試行錯誤していたら、なんとなく分けていたa[href *="nikkei.com"]{display:none}をうっかり他のdisplay:noneの項目と一つにまとめてしまったせいだった。orz

おのれ、日経新聞めまだ祟るか! こっちは覚えてさえいたくないのだがなぁ。
(いや祟っているのはIE6かw)

ちなみにIE6だとこう書くと
.calendar-sun-name,.calendar-wday-name,.calendar-sat-name,.mod-rss-button,.mod-login-button,a.ahr p,.analog,a[href *="nikkei.com"]{display:none}
ダメで、a[href *="nikkei.com"]だけ分ければ大丈夫なようだ。
.calendar-sun-name,.calendar-wday-name,.calendar-sat-name,.mod-rss-button,.mod-login-button,a.ahr p,.analog{display:none}
a[href *="nikkei.com"]{display:none}

IE6でエラーになるのだろうけれど、これじゃCSSの最適化なんて台無しだよ。

by puppet [PC] [CSS] [コメント(0)トラックバック(0)]

ほえ面かいたのは石原都知事の方だったとか2011/01/29 21:27

喧嘩を売ってる石原都知事

石原「アニメフェスをボイコットする出版社はこなければいい 来年ほえ面をかいてくるよ」

と言ってたのに

恥知らず会見

「もう少し冷静に意見交換し合っても良いのではと思います」
なんてどの面下げて言ってるんだ?
冷静じゃなかったのは都知事の方だったと思ったけどなぁ。

最初から冷静に意見交換しておけば、こんなことにはならなかったろうに。

東京国際アニメフェア参加91社減、参加社からも「このままでは出展できない」の声:【2ch】ニュー速VIPブログ(`・ω・´)

by puppet [戯言] [コメント(0)トラックバック(0)]