cssxss
今月のパッチを当てた IE では document.styleSheets[0].imports[0].cssText が「アクセスが拒否されました」になって実証コードが動かなくなりました。 追記: 実はなおってないかも。 こちらでは確認していませんが星屑さんが新たな実証コードを作って確認…
rnaさんとはまちちゃんの相性は ビミョーな感じ です。 注意!! : IE6 をお使いの方は速やかに Windows Update で4月の月例パッチを適用して下さい(「IEの累積的な更新プログラム」にCSSXSS脆弱性のfixが含まれています)。 参照: MS月例パッチ公開、IEの脆弱…
MS月例パッチは(略
結局今月のMS月例パッチには CSSXSS への対応は入ってませんでした。はてな的にはInternet Explorer の脆弱性が近々対応できる見込みであるため、Internet Explorer の修正により、この問題に対応する方向ってことだったのだけど。。。てことで、××君のプラ…
たぶん2月の月例パッチでIEにCSSXSSへの対応が入ります。リリースは15日。バレンタインデーまでが勝負です! (何の?) http://internet.watch.impress.co.jp/cda/news/2006/02/10/10839.html ちなみに http://d.hatena.ne.jp/dangerous1192/20060206/p7 メール…
日記予告 / ブラウザの脆弱性なのにWebアプリで対応しろと迫る人達(高木浩光@自宅の日記) MS があてにならないから(少なくとも対応に時間がかかりそうだから)なんとかして欲しいわけですよ。実際先月のパッチでは修正されなかったし。それに、対応ってのは…
http://i.hatena.ne.jp/idea/7917 無言で却下とあいなりました。ついに対処されたのかと思ったら相変わらずでした。そんなわけで、 他人の日記に書き込みたい方 他人のプライベートモードの日記を読みたい方 は、引き続き CSSXSS を使った攻撃サイトを作成し…
http://i.hatena.ne.jp/idea/7917 よろしくね!関連: cssxss カテゴリ記事一覧
例のアレ、まだ対策されてないみたいなんだが。。。はてなからはあれから連絡ないしテストコードは今でも正常(?)動作するし。 idトラックバック: http://d.hatena.ne.jp/rna/20070104
はてなダイアリーで IE の CSSXSS が悪用できる件、あいかわらずです。対処もアナウンスもなし。はてなアカウント持ってないと悪用できないと思って油断してるのかな。アカウントなくても悪用できる可能性あるんだけど。参照: CSSXSSカテゴリ記事一覧 idトラ…
IEに緊急の脆弱性、未修正の脆弱性も解消へ(MYCOM PC WEB) CSSXSS への対応が見当たらないので実際パッチを適用してみたけどやっぱり対応してません。
CSSXSS の件、いまだに対策が終わってないし、特に告知もないようですがどうなってるんでしょう。ひょっとしてはてなアイデアに出さなきゃ対応してもらえない? でもはてなアイデアに出すからにはどんな危険性があるか詳細に書かなきゃ予測市場とやらも機能し…
輪王様のところからリンクが。 mixiで閲覧キー付きの他人のアルバムを見る方法(修正済み)(俺専用mxxi :: ぼくはまちちゃん!) [関連?] ・IEをお使いのはてなダイアラーの方は注意(児童小銃) ・IE新クロスサイトスクリプティング「CSSXSS」 まだ任意の…
[id:rna:20051207:p1] の件、はてなには連絡済みですが本日17:00現在まだ対策が終わってない模様。ひきつづきご注意ください。
IEをお使いのはてなダイアラーの方はとりあえず以下のうちどれかを実施することをお奨めします(後の方法ほど確実)。 日記更新の時以外はログアウトする。ログイン中はリンクを踏まない。 IE の JavaScript をオフにする。 当分の間 IE を使わない。Firefox …