水無月ばけらのえび日記

IE に特大ホゥル

セキュリティホール memo (www.st.ryukoku.ac.jp) に IE の凄いホゥル (www.st.ryukoku.ac.jp) の話が出ています。どうも XML の CDATA 区間の中に object を書かれると、何故か「マイコンピュータ」ゾーンのセキュリティレベルで実行されてしまうようです。

普通は「マイコンピュータ」ゾーンのセキュリティレベルはカスタマイズ出来ないので死亡するしかありません。が、「[IE4] セキュリティ ゾーンのレジストリ エントリについて (www.microsoft.com)」辺りを見つつレジストリをいじれば何とかなりそうです。そもそも「マイコンピュータ」ゾーン自体を編集可能に設定してしまうのが良いかもしれません。

注意！ 以下の作業はレジストリ変更を伴う危険なものです。失敗すると Windows が起動しなくなるなど、致命的な障害が発生する可能性があります。もちろん Microsoft 非公認の作業であり、何の保証もありませんので行うときは覚悟して行ってください。もちろん、Microsoft のパッチを当てて解決するのがまっとうな手段であり、とりあえずの応急手当に過ぎないことも忘れないで下さい。

と、一発打ち上げたところで作業の内容に入りますが、.reg という拡張子のファイルにこんな内容を書いて……

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"Flags"=dword:00000001

右クリックして「結合」すると、「インターネットオプション」の「セキュリティ」タブの中に「マイコンピュータ」ゾーンが追加されて編集可能になります。「未署名の ActiveXコントロールのダウンロード」を「ダイアログを表示する」か、「無効」に設定すればとりあえずは OK です。

こうしておくと「マイコンピュータ」ゾーンのセキュリティレベルが変更できるので、ローカルの JavaScript を無効にすることもできます。ただし、そういうことをすると例によってローカルで IE の機能を使っている部分(ダイアログの一部とか、ヘルプとか)がおかしくなったり、いろいろな弊害が出ます。そういった覚悟ができている人だけ行うようにしてください。

• 「IE に特大ホゥル」へのコメント (4件)

関連する話題: Microsoft / Windows / Internet Explorer / UA / レジストリ / セキュリティ