■URL
http://security.greymagic.com/adv/gm001-ie/
GreyMagic Softwareのページ |
イスラエルのGreyMagic Software社は、XMLのOBJECT要素によってコマンドを起動してしまう問題を発見し、これについての対策を発表した。
この問題は、XMLの機能によって作成されたOBJECT要素が、任意のコマンドを起動してしまうというもの。この問題を悪用したWebサイトの場合、そのHTMLを表示するだけで任意のコマンドが起動されてしまう。またこの問題は、アクティブスクリプトおよびActiveXの設定を無効にするなどのIEのセキュリティー設定を行なったとしても、実行されてしまう。
GreyMagic Software社が発表した方法は、レジストリーを変更することにより、この脆弱性を利用したプログラム実行の際に、「通常は自動実行されてしまう」ものを「実行前に警告文を出す」ようにするものだ。但し、レジストリーの変更が必要な為、レジストリー変更をした事のないユーザーにはお勧めできない。変更方法は、以下の通り。
1.「スタート」の中の「ファイル名を指定して実行」を選択
2.「regedit」を入力して「OK」を押す
3.「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0」を選択
4.このフォルダ内にある「1004」を右クリックし、「変更」を選択
5.「値のデータ」内に「0x3」を入力(16進数がチェックされているか確認)
6.「OK」を押し、「レジストリエディタ」を終了する。
7.マシンを再起動
編注)上記の方法は、編集部の「Windows Me/2000」では確認済み。レジストリの変更は「自己責任」で行なってください。
なお、レジストリー変更した事のないユーザーは、この問題に対するパッチが発表されるまで、IE以外のブラウザーを使用することをお勧めする。
[Reported by otsu-j@impress.co.jp]
(3月4日当初、他の問題と混同した記述による記事を掲載しておりました。お詫びとともに訂正後の記事をここに再掲載いたします)