■
■Microsoft Internet Explorer コンポーネントにおけるセキュリティゾーンの扱いに関する脆弱性
「紙copi」「紙2001」のケースでわかること
「紙copi」「紙2001」の表示で利用するMicrosoft Internet Explorer コンポーネントにおけるセキュリティゾーンの扱いに関する脆弱性によれば以下の通りですね。
WebページからHTMLファイル形式もしくはMHTファイル形式で取り込む場合、取り込みHTMLのヘッダ部分に「Webのマーク」("saved from url")コメントを追加します。
この処理によって、取り込んだHTMLファイルは[ローカルコンピュータ]ゾーンではなく[インターネット]ゾーンにおいて表示されます。
Microsoft Internet Explorer (以下、IEと表記) コンポーネントを利用してWebコンテンツ(HTMLファイル)を表示する場合に(実質、ローカルマシンゾーンへのダウンロードなのでしょうけれど)ローカルマシンロックダウンが行われていないOSで作動しかねない危険なスクリプトを含むHTMLを取り込んでしまう可能性がある、こういうことなのでしょうか。いまいちハッキリしない発表です。
コンポーネントは「Webのマーク」を付加するように改造がかけられるのでしょうね。それで幸せになれると思います。IEやOEでは別処理で行っているのかな?
追記
こじま先生のセキュメモでは別の観点からですね。なるほど。日本語処理特有…
おわび
hotmail関連のお話は本日の日記では出来ません。また、上記記事に関連するトピックでMicrosoftさんから仕様であると断言されている事象もあるのですが、うまくまとめられない状況のようです。もう少し考えさせてください。