パスワードを忘れた? アカウント作成
9148964 story
インターネットエクスプローラ

Internet Explorer 6~9に修正予定がない脆弱性 25

ストーリー by hylom
XMLか…… 部門より

あるAnonymous Cowardのタレコミより。6月7日、IE 6~9に「細工されたXML ファイルをローカルファイルとして開くことで、別のローカルファイルの内容が漏えいする可能性がある」という脆弱性が発見された(JVN#63901692)。Microsoft側は、この問題についてIE 6~9での修正を行う予定はないとのことで、IE 10への移行が推奨されている。

ただし、偏執狂的日記によると、あくまでローカルに細工されたXMLファイルを開いた際の問題であるため、実際にはIEの利用を即刻停止しなければならないような危険な脆弱性ではないとのこと。そのため、ローカルに危険なファイルを保存しなければ問題無いようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hippopotamus (34561) on 2013年06月11日 13時59分 (#2398965) 日記

    公共事業の電子納品なんかやってるとXMLファイルはよく出てくるというか必須ファイル。
    通常は電子納品対応ソフトが勝手に生成してくれるけど、
    よく分からない人はとりあえずダブルクリックしてしまうかもしれない。

  • by AnotogasterSieboldii (37677) on 2013年06月11日 13時07分 (#2398926)

    周辺機器のドライバ関係で7にできないVistaなPCはどうしたらいいですか・・・

    #XPも同様か

    • by Anonymous Coward

      XPはもうさすがに終わらせたいから良い。しかし、VISTAはなあ...10提供してくれないかしら?

    • by Anonymous Coward

      その周辺機器のメーカーにドライバ要求するか代わりの製品を探すかじゃないのかな

      • by AnotogasterSieboldii (37677) on 2013年06月11日 14時13分 (#2398973)

        ドライバはその個体毎にチューニングされてるし,
        代わりの製品は400万円くらいするからなぁ・・・

        親コメント
        • by Anonymous Coward

          そういうマシンでIEを無理に動かす必要はないんじゃないですか?

          • by Anonymous Coward

            使わないという選択はあり得るでしょうが,アンインストールできない以上システムのどこかに居座るわけで….
            それほど脅威ではないとはいえ,気持ち悪いと感じる人がいるのも仕方ないかと.

    • by Anonymous Coward

      xmlを他のブラウザに関連づければいいんじゃね。もしくはメモ帳とか。

    • by Anonymous Coward

      Win7機ですが古めのAMD(ATI)のグラボついてるせいか
      KB2670838の問題が未解決です。そのため10にはアップできず。
      まあ自分の場合サイト閲覧はIEじゃないんで危険度はちょっと下がるとは思いますが。

  • > そのため、ローカルに危険なファイルを保存しなければ問題無いようだ。

    確かにその通りなんだけど、くだんの記事の中にも.exeうんぬんの言及があるように
    これからは「xmlファイルをむやみに開くな」とか広く周知されるようになるのかしら。
    10が広まるのとどっちが早いかな。

    巡り巡って「IE(10なのに)でxml開く馬鹿がどこにいるんだヴォケ」って言いだすヴォケが現れるかもな
    そもそもIEで開く人ってあまりいないとは思うが

    // .xmlと旧ieをひもづけるひとって多いんかしら(:>^

  • by Anonymous Coward on 2013年06月11日 13時34分 (#2398953)
    サポート終了間際とはいえXP向けの最終バージョンであるIE8と、サポート継続してるVista向けの最終バージョンであるIE9には修正提供するべきなんじゃないの?

    # IE6、7はさっさと滅んでくれていい
    • by Anonymous Coward

      最終バージョンならたぶん修正版でるでしょ。社内の動きが追いついてないだけだと思うよ。

      • by Anonymous Coward
        時期は未定でも修正を出す見込みがあるなら
        「なお、開発者によると、Internet Explorer 9 およびそれ以前において、本脆弱性の修正予定はないとのことです。」
        なんて表現にはならないだろ
    • by Anonymous Coward

      Vista SP3 で IE10 サポートってフラグかも
      ...無いな。

      • by Anonymous Coward

        XPのときの延長サポートには例外が多かったが、本来延長サポートに入ると新規の機能やアプリの追加はないのが普通。
        なのでSP3もIE10も来ないのが普通なんよ。

    • by Anonymous Coward

      IE9にこだわりは無くてIE10にするのは構わないんだけど、
      例のKB2670838相性問題のせいで上げようにも上げられないんですけど。

  • by Anonymous Coward on 2013年06月11日 13時49分 (#2398961)

    できるかどうかわからないけど、ネット上のXMLをキャッシュさせてそれを開かせる、なんてことをされたらどうなるんだろうか。

    • by Anonymous Coward

      キャッシュのファイル名がわからないだろうし、アクセス権があるのかも微妙?
      それできちゃうと、ほかのサイトのキャッシュにもアクセスし放題になってしまうから。

      • by Anonymous Coward
        有用なリンクとみせかけてContent-Dispositionつけてダウンロードさせれば、
        PDFみたいに関連づけで開いちゃう人はいると思う。
        さらにブラウザはIE以外を使っていても影響するのでは。

        Win7/Firefox 21でSkyDriveにファイルをアップしてためしてみたら、
        ダウンロードのデフォルト設定はXML Editorという名前で「開く」が選ばれていて
        開いたらIE 9で表示されました。
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...