Internet Explorer の重要な更新(MS04-004)
あ、なんか出てる。
絵でみるセキュリティ情報 MS04-004 : Internet Explorer の重要な更新
Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) (MS04-004)
概要
対象となるユーザー : Microsoft(R) Internet Explorer(R) を使用しているひと
脆弱性の影響 : リモートでコードが実行される
最大深刻度 : 緊急
影響を受けるソフトウェア :
Microsoft Windows NT(R) Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition, Service Pack 6
Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4
Microsoft Windows XP, Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition, Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server(R) 2003
Microsoft Windows Server 2003, 64-Bit Edition
詳細(抜粋)
・別のドメインのウィンドウが情報を共有しないようにする Internet Explorer のクロスドメイン セキュリティ モデルに関連する脆弱性。この脆弱性により、ローカル コンピュータ ゾーンでスクリプトが実行される可能性があります。
・Internet Explorer のダイナミック HTML (DHTML) イベント中で関数ポインタを使用したドラッグ アンド ドロップ操作の実行に関連する脆弱性。 この脆弱性により、ユーザーがリンクをクリックすると、ユーザーのコンピュータの標的となる場所にファイルが保存される可能性があります。ユーザーにダウンロードを承認するよう要求するダイアログ ボックスは表示されません。
・特別な文字を含む URL の不正確な解析に関連する脆弱性。この脆弱性が URL の最初の “username:password@” を持つ基本的な認証機能の悪用と組み合わされると、Internet Explorer のアドレス バーに 間違った URLが表示される可能性があります。
3つ目はこないだぱっちテスト中だよっていってたやつですねー
しかし、Microsoftのマイクロソフト セキュリティ情報 (MS04-004) : よく寄せられる質問って、「よく」なんて言われるほどまだ質問してる人いない気がするのだけども。。。
URL偽装のやつ、構文エラーになりますねー
ぐーぐると見せかけてやふーなてすと
あ、ついでにhttp://ユーザ名:パスワード@example.com/とかのIE側の自動認証も無効になってるっぽいですね。
関連にうす:
マイクロソフト、またも「例外的な」パッチリリース--IEのバグを修正
MS、IEの脆弱性に対応の臨時パッチ
IE用の新パッチ発行で電子商取引に混乱の可能性も