Microsoft、IE11でjscript.dll実行をブロックするオプションを10月の月例更新で追加 10
レガシー 部門より
Microsoftは13日、10月の月例更新でInternet Explorer(IE) 11のJscript(jscript.dll)実行をブロックするオプションをWindowsおよびWindows Serverに追加したことを発表した(Windows IT Pro Blogの記事、 KB4586060)。
jscript.dllはECMA-262のMicrosoftによるレガシーな実装であり、IE11ではレガシードキュメントモード(IE9以前のバージョン)を使用するサイトでのみ使われる。jscript.dllの脆弱性はたびたび見つかっているが、パッチが提供されるまでの緩和策としてはファイルのアクセス許可を変更するしか方法がなく、Windows Scripting HostのJavaScriptエンジンが使用できなくなるなどの問題があった。ただし、オプションが追加されたといっても「インターネットオプション」からは設定できず、レジストリの編集が必要であり、インターネットゾーンと制限付きサイトゾーンでの無効化が推奨されている。
KB4586060には2017年にリリースされたIEの累積的なセキュリティ更新プログラムが必要と書かれているが、該当のレジストリ値は10月の更新プログラムをインストールした環境にしか存在しなかった。また、「MSXMLのスクリプト」で解説されているレジストリキーは10月の更新プログラムインストールしても追加されなかった。なお、64ビット環境で実行される32ビットアプリケーションに関する手順は間違っているが、その上で解説されている手順のレジストリキーを読みかえて設定すればよさそうだ。
インターネットオプション (スコア:0)
各ゾーン設定では
スクリプトもActiveXも.net framework依存系も
各種無効を設定できるけど効果がないんですかね?
マイコンピュータゾーンは
レジストリいじらないとUIでの変更はできませんが
インターネットゾーンなどは
静的コンテンツのみ向けにセットしておけば
レジストリいじらなくてもいけるはずかと
項目多いんで面倒ですが
それが効果なく突破されるとなると
でっかい脆弱性ってことになる気が。。。
Re: (スコア:0)
レガシードキュメントモードのページは壊れても仕方ないけど、IE9モード以降のページでは無効にしたくないという需要があるのでは
いつまでIE11で頑張るの? (スコア:0)
IE11で頑張るならせめてES6対応早くしろよ
シェア持ってるくせにこの体たらくとか、本当迷惑なんだけど
# Edgeとかいうブラウザの進捗どうなったの?立ち消え?
Re: (スコア:0)
IE11で頑張ってないでしょ。EdgeはChromeベースでもうデフォルトだし。
Re: (スコア:0)
ES6対応なんか誰の益にもならない。
過去のIEに特化したサイトが壊れる上、IEがまた延命する。
MSの望みはIEの安楽死。強引に進めるとあーだこーだ言われるからひっそりと衰退させてるのが今のフェーズ。
Re: (スコア:0)
無知によるものか信仰心によるものかは知らんが、社会にとっては君のような人間の存在のほうが迷惑だということに気付いた方が良いよ?
Re: (スコア:0)
ガイジwww
Re: (スコア:0)
Microsoftは、IEで頑張る気なんて全くないでしょ。
シェアを減らす為に、Windows UpdateでデフォルトブラウザをEdgeに強制的に切り替えてる。
Re: (スコア:0)
知らないなら黙ってりゃいいのに…。
jscript.dllっていうとjscript 5.8のことか (スコア:0)
生きとったんかワレ!
chakraだけ残してWSHも抹殺すればいいのに。