Mac用IE/OE/Officeに任意コード実行の脆弱性 17
ストーリー by yourCat
MS製品をほぼ網羅 部門より
MS製品をほぼ網羅 部門より
raychang曰く、 "Mac OS 8/9/X版のIE 5に始まりOE 5やEntourage、PowerPoint、Excelの2001版とv. X版に、HTMLエレメントに未チェックのバッファが発見された。アタッカーが任意のコードを実行でき、乗っ取りに成功すればAppleScriptの実行も可能という。Microsoft Security BulletinにはMS02-019として公開されています。"
日本語要約も公開された (『MS02-019に関する情報』)。詳細情報は現在準備中という。特にIE 5.1とOE 5.0.x、Entourage 2001/v.Xでは深刻だ。
この脆弱性を塞いだIE 5.1.4 for Mac OS 8/9は既に提供が始まっている (MacBinary版/BinHex版)。IE 5.1.4 for OS Xはソフトウェアアップデート経由で配付される。IE以外はまだ修正版がないので、ユーザーは注意されたし。なお、この脆弱性が発見されたのは以下の製品群。
- Internet Explorer 5.1 for Mac OS X
- Internet Explorer 5.1 for Mac OS 8/9
- Outlook Express 5.0.x for Mac
- Microsoft Entourage v. X for Mac
- Entourage 2001 for Mac
- PowerPoint v. X for Mac
- PowerPoint 2001 for Mac
- PowerPoint 98 for Mac
- Excel v. X for Mac
- Excel 2001 for Mac
IE5.1.4 for MacOS8~9日本語版 (スコア:2, 参考になる)
<html>
<body>
<TABLE>
<TD>
<IFRAME>
<FONT>
</IFRAME>
</TD>
</TABLE>
<TABLE>
</body>
</html>
Re:IE5.1.4 for MacOS8~9日本語版 (スコア:1)
#Microsoftにバグ報告しても返事をくれなかったのは
#これがあったからかしら
Re:IE5.1.4 for MacOS8~9日本語版 (スコア:1)
モノを全角で書き出したのでした.
仰せの通り,英語版(しか無かった)5.1だと落ちないんですよね.
なんでコレの日本語版が出ないのかは,ワタシも不審に思っていました.
“どーせすぐに他の不具合も出るだろうから,ついでに直せばいいや”
....と思って直さなかった.なんてことはないでしょうねぇ....
IE5.1.4 for OS X日本語版 (スコア:1)
その時点でMSKKに情報が上がっていなかったため、まだ適用していませんが。
SoftwareUpdateでのアップデート内容説明は次の通りでした。
Re:IE5.1.4 for OS X日本語版 (スコア:1)
それよりも、Mac OS X Serverがクライアント版より先に10.1.4 [apple.com]になったことのほうがうれしかったり(深い理由はないです)。でも、前回のメールサーバーのspam対策のパッチだけのようだけど。
Re:IE5.1.4 for OS X日本語版 (スコア:1)
でもうちのソフトウェアアップデートには何も出ないんですよね。IE削除しちゃったからかしら。
Re:IE5.1.4 for OS X日本語版 (スコア:1)
わたしもIEは削除してます。
Re:IE5.1.4 for OS X日本語版 (スコア:1)
削除しなくてもApplicationsフォルダの直下にないと
認識しないみたいですね。
そんなつもりはなかったでしょうがおかげで謎が解けました、
どうもありがとう。
でも、フォルダぐらい好きに作らせて欲しいな。
Re:IE5.1.4 for OS X日本語版 (スコア:1)
IEは
5.1.4 (4415.2)
OSは、
Version 10.1.4 Server Build 5S40
になりました。
Re:IE5.1.4 for OS X日本語版 (スコア:1)
便利になった
HTMLエレメントに未チェックのバッファが発見された。 (スコア:1)
欧中windows-1250でございます。 (スコア:2, 参考になる)
単独では開けないように小細工しているようですが…
JavaScript切れば可能かと
http://www.microsoft.com/technet/security/bulletin/ms02-019.asp?frame=true
ソースでもみて笑って下さい。
因にwindows-1250の文字は これ [nifty.com]です。
文字コード表
http://homepage1.nifty.com/nomenclator/chartbl/
下手な小細工はよく使うが中身にない会社でございます。
よくテーブルタグの閉じるを省略してネスケで見れなかったりしますけどきっと自然現象
この会社ライブラリがバクっているから全部ダメだと思うけど(笑)
SherlockPlug-in作りにMSNいったらNCで問題があったのでIE使ったら
検索フォームの所にバナー食い込んで検索するなって感じだったら(笑)
とりあえず至る所問題だらけ。早めに潰れてくれた方がいっそ楽に楽に慣れるのではと思う次第
仕様その壱:MacのIEだとローカルなファイルを覘く際に
パス表示に使われるHTMLがISO-2022JPなんだが変換が腐ってて
機能拡張の『機』字が『@\』と変換される仕様になっているため繋がらない
この文字だけではない。
『 ァА ゛´¨ ̄ゝ〃々〇―/~|‥’”)〕]}〉》」』】-】-×=<≦∞♂°″¥¢% 戮海譴 らいある。
試す方が早い
file:///Macintosh HD/システムフォルダ/機能拡張/
file:///Macintosh%20HD/%83V%83X%83e%83%80%83t%83H%83%8B%83_/%8B%40%94%... [file]
IEで移動後にシステムフォルダーへ移動しリンクから機能拡張へ移動すると…
できないのは昔から治っていない(笑)
そそ、もし日本語ドメインなんて導入されると1発で潰れるのがMacIEですってことを最後に付け加えたいと思う
Re:欧中windows-1250でございます。 (スコア:1)
HTMLエレメントを処理する部分に未チェックのバッファが発見された。
という事を言いたかったのではないかと思われ
かなり本筋から外れますが (スコア:1)
japて何? jap?
jpnだろ!
ユーコン川を下る
佃煮
ヤバい穴だと思うだけに… (スコア:0)
もう少し軽い穴なら、迷わず「尊敬すべき人柱」の方々から、5.1.4の問題点が上がってくるのを待つんだけど.
#とりあえずチェック用には落としてはみたが…
Re:ヤバい穴だと思うだけに… (スコア:1)
# と言ってここを見ている(笑
ちゅうか、世間のありがたい人身御供の方々が、勝手に検証してくれるのを期待しつ待っている。
と言うのが正直なところ。
が、検証(笑)の結果アナウンスが遅れると「社内へのアナウンスが遅い」とか文句を言われる。
どないしろっちゅーねん。
Re:ヤバい穴だと思うだけに… (スコア:0)
>が、検証(笑)の結果アナウンスが遅れると「社内へのアナウンスが遅い」とか文句を言われる。
御意.しかも1ヶ月後、いや2週間後くらいにはもう「5.1.4にセキュリティパッチを当てるように」とか、「5.1.4には重大な問題があるから前のバージョンに戻すように」なんてアナウンスをする羽目になりはしないかと思うと、もう.
#もちろ