■Microsoft Internet Explorer コンポーネントにおけるセキュリティゾーンの扱いに関する脆弱性

「紙copi」「紙2001」のケースでわかること

「紙copi」「紙2001」の表示で利用するMicrosoft Internet Explorer コンポーネントにおけるセキュリティゾーンの扱いに関する脆弱性によれば以下の通りですね。

WebページからHTMLファイル形式もしくはMHTファイル形式で取り込む場合、取り込みHTMLのヘッダ部分に「Webのマーク」（"saved from url"）コメントを追加します。

この処理によって、取り込んだHTMLファイルは[ローカルコンピュータ]ゾーンではなく[インターネット]ゾーンにおいて表示されます。

Microsoft Internet Explorer (以下、IEと表記) コンポーネントを利用してWebコンテンツ（HTMLファイル）を表示する場合に（実質、ローカルマシンゾーンへのダウンロードなのでしょうけれど）ローカルマシンロックダウンが行われていないOSで作動しかねない危険なスクリプトを含むHTMLを取り込んでしまう可能性がある、こういうことなのでしょうか。いまいちハッキリしない発表です。

コンポーネントは「Webのマーク」を付加するように改造がかけられるのでしょうね。それで幸せになれると思います。IEやOEでは別処理で行っているのかな？

追記

• セキュリティーホールMEMO - JVN#257C6F28： Internet Explorer コンポーネントを使用するアプリケーションにおけるセキュリティゾーンの扱いに関する脆弱性

おわび

hotmail関連のお話は本日の日記では出来ません。また、上記記事に関連するトピックでMicrosoftさんから仕様であると断言されている事象もあるのですが、うまくまとめられない状況のようです。もう少し考えさせてください。