情報処理推進機構:セキュリティセンター:セキュリティ対策まんが クジョたいさく物語
なんでもマンガにすればいいというわけじゃないし。おもしろくも何ともないー。
Microsoft Internet Explorer での Direct Animation Path Control に関するアラート (セキュリティホール memo)
というわけで、daxctle.ocx の killbit を指定して Direct Animation ActiveX コントロールを無効にするスクリプトを書こうと思ったんだけど、daxctle.ocx の CLSID がわかんない orz
Microsoft Security Advisory (925444): Vulnerability in the Microsoft DirectAnimation Path ActiveX Control Could Allow Remote Control Execution (日本語版)によると、CLSID は {D7A7D7C3-D47F-11D0-89D3-00A0C90833E6} でよいっぽいんだけど、なぜか手元の1台では {369303C2-D7AC-11D0-89D5-00A0C90833E6} ってのがあるし、別の1台では {D7A7D7C3…} はないけど {139DD5D1-D6E2-11D0-89D4-00A0C90833E6} というのがある(これは関係ないっぽいけど)…。
Firefox 用定番RSSリーダ Sage における RSS Script Injection
- Firefox Sage Extension RSS Feed Script Insertion Vulnerability - Advisories - Secunia
- Cross Context Scripting with Sage - GNUCITIZEN
- Taken SPC : Sage に未パッチの XSS 脆弱性
PoC もあり。むー。file:// でスクリプトが動くのは悲しいなぁ。とりあえず、「コンテンツエリアにフィードを読み込む」を無効にしてると大丈夫っぽい。
どうでもいいけど、RSS に対するスクリプトインジェクションを XSS というのはすごく違和感がある今日この頃。
Hunting Security Bugs
おもしろそうだなぁ。日本語訳でないかなぁ。
Hunting Security Bugs (Developer Reference)
- 作者: Tom Gallagher,Bryan Jeffries,Lawrence Landauer
- 出版社/メーカー: Microsoft Press
- 発売日: 2006/06/21
- メディア: ペーパーバック
- この商品を含むブログ (2件) を見る