「MS03-032が直ってない話」へのコメント

「水無月ばけらのえび日記 : MS03-032が直ってない話」について、4件のコメントが書かれています。

えむけい (2003年9月10日 13時37分)

> あるいはマイコンピュータゾーンでスクリプトを無効にすれば回避できるのかも知れませんが、試していません。

.htaの呼び出し自体はdataSrcでスクリプトを使わずにできますし、セキュリティゾーンの設定は.htaに対しては影響を及ぼさないのでスクリプトを無効にしても無駄無駄です。

ていうか静的なhtmlに対してはは塞いだけどdataSrcやcreatePopupで動的に生成すると貫通するというまったく同じパターンのホゥルが以前もあったというのがなんとも進歩のない感じです【謎】。

ばけら (2003年9月10日 14時31分)

>.htaの呼び出し自体はdataSrcでスクリプトを使わずにできますし、セキュリティゾーンの設定は.htaに対しては影響を及ぼさないのでスクリプトを無効にしても無駄無駄です。

　情報ありがとうございます。

　実際にマイコンピュータゾーンのセキュリティレベルを変更して試してみましたが、やはり動作しましたね。

>ていうか静的なhtmlに対してはは塞いだけどdataSrcやcreatePopupで動的に生成すると貫通するというまったく同じパターンのホゥルが以前もあったというのがなんとも進歩のない感じです【謎】。

　いや全く。XML の中に object, という exploit のパターンにしても既に見たことありますしね……。

えむけい (2004年4月4日 21時19分)

>「IE に特大ホゥル」

謎の鳩丸URNが【略】

ばけら (2004年4月5日 14時21分)

>謎の鳩丸URNが【略】

　もうね(以下略)。

　直しました。ありがとうございます。

「水無月ばけらのえび日記 : MS03-032が直ってない話」についてコメントを書く場合は、以下のフォームに記入してください。