Sleipnir/Grani、スクリプトによる貼りつけ処理に関する脆弱性
2010年12月1日(水曜日)
Sleipnir/Grani、スクリプトによる貼りつけ処理に関する脆弱性
公開: 2010年12月3日12時50分頃
こんなアナウンスが出ていますね……【重要】「スクリプトによる貼りつけ処理」に関する脆弱性について (www.fenrir.co.jp)。
Sleipnir、Grani には、デフォルトの設定でウェブサイト側からクリップボードの内容が盗聴・改竄されるおそれがある脆弱性が存在します。
本日 15:00 に差し替えを行いましたので、上書きインストールを行うか、下記の設定を変更して下さい。
(~中略~)
1. IE6 以前を使用している場合
「ツール」メニューから「インターネットオプション」を選ぶ。
「セキュリティ」タブを選び、「レベルのカスタマイズ」ボタンを押す。
「スクリプト」の項目にある「スクリプトによる貼り付け処理の許可」の項目を「無効にする」または「ダイアログを表示する」に設定する。
※「インターネットオプション」の設定を使用するため「Sleipnir(Grani) オプション」で設定の必要はありません。
これ、IEの「スクリプトによる貼り付け処理の許可」の設定ですね。IE6のデフォルト設定が危険であることはよく知られていると思いますが、Sleipnir、Graniはこの設定のまま動いてしまっていたという話なのでしょう。「スクリプトによる貼りつけ処理の脆弱性で Sleipnir/Grani/TB-8 が差し替え (pnir.sitemix.jp)」によると、新バージョンではSleipnir、Grani側でその設定を上書きする設定があり、それがデフォルトで「ダイアログ表示」になっているようです。
これ、普通に考えるとむしろIE6の脆弱性のような気もしますが……。これがSleipnir、Grani側の脆弱性なのだとすると、
(2) 「スクリプト」項目の[Javaアプレットのスクリプト][アクティブスクリプト][スクリプトによる貼り付け処理の許可]で、それぞれ[有効にする]を選びます。
……なんて書いているサイトはどうなるのでしょうね。
※以下、2010-12-04追記
……と思っていたのですが、ちょっと違っていたようです。Sleipnir/Graniの旧バージョン使用かつIE6SP1の環境では、インターネットオプション側で「ダイアログを表示する」にしていても「有効」にされてしまうのだそうで (Re:「Sleipnir/Grani、スクリプトによる貼りつけ処理に関する脆弱性」)。これなら、Sleipnir/Grani側にも問題があると言えそうですね。
練炭さん、情報ありがとうございました。
- 「Sleipnir/Grani、スクリプトによる貼りつけ処理に関する脆弱性」にコメントを書く
- 前(古い): 三菱インフォメーションシステムズが謝罪
- 次(新しい): 静岡ガンダム
