■URL
http://www.microsoft.com/windows/ie_intl/ja/security/paste.htm (Untrusted Scripted Paste)
http://www.microsoft.com/windows/ie_intl/ja/security/dotless.htm (Dotless IP Address)
マイクロソフト株式会社は、WWWブラウザー「Internet Explorer (IE)」日本語版のセキュリティホール対策パッチを2種類リリースした。(編集部注:Untrusted Scripted Paste問題パッチについてはWebでは11月20日既報)
「Untrusted Scripted Paste」問題は、JavaScriptを悪用することによって、ブラウザー側のローカルドライブのファイルをサーバーから取得できてしまうというもの。ただし、サーバー側では目的のファイルの絶対パス名を知っている必要がある。Windows 98や、Windows 95/NT/3.1用IE 4.01以降で潜在的な危険性があるという。同問題へのパッチはすでに公開されているが、対応できない場合もあることから改訂版の公開となった。
一方、「Dotless IP Address」問題は、URLのうちホスト名としてIPアドレスを、点で区切らない一つの数値として指定した場合、セキュリティゾーン設定としてイントラネット用のものが使われるというもの。ゾーン設定で、イントラネットを低く設定していると問題となる可能性がある。Windows 98/95/NT/3.1のIE 4.01以降が対象で、Macintoshは問題ないという。
続報
後日、Untrusted Scripted Paste問題パッチ改訂版のアナウンスは誤って出されたものと判明した。【詳細】
('98/11/24)
[Reported by masaka@impress.co.jp]