MS07-034、古い話で恐縮です。以下の解説記事に関して若干のコメントを今更ながら・・・

[openmya:038082] MS07-034: mhtml:プロトコルハン ドラによる任意のスクリプトの実行

実は、MS07-034 の件は、下記の件にも関連しているのでした。

XPSP2:ローカルでHTMLファイルをIEで開いて信頼済みサイトゾーン権限のスクリプトが動く

これは2005年10月の記事です。私はこれを脆弱性とみなしましたが、Microsoftさんは、by design とみなしました。

その後、海外のセキュリティ研究家から、2006年9月に、上記の穴がふさがっているようだとの連絡があり、私も確認しました。しかし正式発表はないわけです。いわゆる、内緒の改善ですね。ですから、直ったとは、私からは言えませんでした。

MS07-034 の結果、大元が塞がれましたので、実質的に、この脆弱性は修正されたものと考えてよいでしょう。

mhtml形式のソースには、偽者のHTTPレスポンスヘッダを記述できたのです。これはローカルにおかれたmhtml形式のファイルに関して有効でした。たとえば、Content-Location: を適宜偽装することが可能でした。　気分的には、たとえば、信頼済みサイトのmicrosoft.com などからダウンロードされたのですよ、だから信頼済みサイトゾーンの権限で、作動していいんですよ、というお墨付きを与えることができるということです。サンドバック状態。

ところで、mhtml形式のソースは、画像ファイルなどに埋め込み可能でしたので、隠密になれました。　悪意ある者が応用を考えることは簡単だったことでしょう。　たとえばフリーソフトのマニュアルとかに隠されていたら？HTMLファイルと画像ファイルだけでかなりのことができそう・・・

というわけなのでした。ん〜当時は、history.backを使うとか思いつかなかったけどどうだったんだろう・・・