アドバイザリ (917077): HTML のオブジェクトが予期しないメソッド呼び出しを処理する方法の脆弱性により、リモートでコードが実行される
22日と、23日に書いていた話のアドバイザリ。 IE7β2では影響を受けない件はMSRCのblogに既に掲載済みですし、回避策として書かれている、 1. Internet Explorer をインターネットおよびイントラネット ゾーンで アクティブ スクリプトが実行される前に ダイアログを表示するように構成する、または アクティブ スクリプトを無効にするよう構成する 2. インターネットおよびローカル イントラネット ゾーンの設定を「高」に設定し、 これらのゾーンでアクティブ スクリプトを実行する前にダイアログを表示する 3. Web サイトを信頼される Web サイトのみに制限する は、まぁ、普通に今まで言われてきていたことなのですが、無効にしちゃうとお仕事的にうーんな場合もあるので、個人的にはダイアログ派。 基本は、怪しげなサイト、信頼できないサイトはまず見ない方向で!なんだろうな。 修正プログラムのリリースが待ち遠しいです。 日本のセキュリティチームのblogで小野寺さんがInternet Explorerの脆弱性に関するセキュリティ アドバイザリについて書かれていますが、この脆弱性を回避するために、ベータ版をインストールすることは推奨しておりません。 ベータ版は、基本的に脆弱性への対応をも含めてサポートされない製品ですのでテスト目的の使用に限定する方が良いでしょう。と、きちんと書いてくださっているのでヽ(^−^)ノ あと、SDLの効果でしょうかって書かれている部分に、SDLって何?な人はしたのリンクを参照で。 ■信頼できるコンピューティングのセキュリティ開発ライフサイクル ■Microsoft Developer Security Dayの資料とか