IE修正パッチによる文字化け回避にF5を押すのは危険?
今月の Internet Explorer の累積的なセキュリティ修正パッチを当てると、JISのサイトで文字化けが発生するという情報が流れています。
マイクロソフト セキュリティ情報 MS10-090 - 緊急 : Internet Explorer 用の累積的なセキュリティ更新プログラム (2416400)
12月15日付けWindowsUpdate後、IEで文字化け多発中な模様(スラッシュドット・ジャパン) - livedoor ニュース
情報を見ると KB2467659 に詳しい情報が流れています。
| KB2416400 には、JIS (Japanese Industrial Standard) エンコーディングの自動検出を無効にする修正プログラムが含まれています。ただし、一部のソフトウェアでは、Internet Explorer のコンポーネントを使用して、HTML 形式の日本語の電子メール メッセージを解釈します。そのため、JIS エンコーディングは自動検出されず、電子メール メッセージのコンテンツは読み取ることのできないコードで表示されます。
注: Microsoft ダウンロード センターで更新プログラム KB2416400 をインストールしたが、この更新プログラム (KB2467659) をインストールしていない場合は、Windows Update によってセキュリティ更新プログラム KB2416400 が提供されます。この問題を回避するには、Microsoft ダウンロード センターまたは Windows Update のいずれかで KB2467659 をインストールしてください。 |
どうも、MS10-090でレジストリでこの辺りを制御する機能が盛り込まれてデフォルトでオフになってるのが原因のようですね。
KB2467659 ではIE以外のレジストリを有効に設定するようです。
HKEY_LOCAL_MACHINE の中の \SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl
に FEATURE_DISABLE_ISO_2022_JP_SNIFFING というサブキーを付けて
IExplore.exe と Explorer.exe に DWORD 1、* に DWORDで 0 を設定する設定と解説されているので、IEだけこの機能を使い、その他のIEコンポーネントアプリケーションでは無視するということみたいですね。
IEXPORE.EXE の設定をしなければ、IEも前と同じように表示できると思われます。
このあたりのレジストリをいじるってことは、 urlmon.dll mshtml.dll の機能追加の更新と思われます。
逆に、IEコンポーネントを使用する donutsやLunascape、Sleipnirなどのソフトは実行ファイル名で DWORD値1にしないとこのセキュリティホールが素通りになるようです。是非設定してください。
参考記事:
Windows 2000/XP SP2用12月のセキュリティパッチリリースとMS10-090
で、こんな機能が何で盛り込まれたかというと…
JVN#33301529: Internet Explorer におけるクロスサイトスクリプティングの脆弱性
JVN#30273074: Internet Explorer におけるクロスサイトスクリプティングの脆弱性
という訳ですね。
無効にするのもあまりよくないようです。
因みに、既に未修整のセキュリティホールが出てます
JVNVU#634956: Microsoft Internet Explorer に任意のコードが実行される脆弱性
IEはできるだけ使わないように…。
こんなページも発見
お知らせ(対処方法) ‐ 内閣府
Notices/20101217-0001 - KIT 情報科学センター
サイト表示不具合のお知らせ:TBSテレビ
回避策にリロード推奨してる人がいますが、 KB2416400 を見ると
| クライアント側の回避策 この問題を回避するには、クライアント コンピューターで次のいずれかの方法を使用します。 * Web サイトの表示中にこの問題を回避するには、F5 キーを押してページを更新します。 警告: この回避策によって、コンピューターやネットワークが、悪意のあるユーザーやウイルスなどの悪質なソフトウェアからの攻撃を受けやすくなる場合があります。 |
というわけで、化けたサイトに遭遇したからと言って、F5を押すのは非常に危険だそうです。
*非常に危険なわけではないという報告があるので少し調べてみます。MSさんからの回答は以下の様になっていますが、実証コードで一応確認してみるので、しばらくお待ちください。
| @ramu_mystery ご連絡ありがとうございます。KBの書き方が悪いです。お騒がして申し訳ありません。レジストリ変更をすると脆弱性が高くなるという意味になります。 |
危険性を書かずにF5を勧めたり、更新をしないように勧めたりするサイトの管理者の方もいるようですが、サーバー側の、対策方法もKB2416400 に書かれています。
| サーバー側の回避策
サーバー側からこの問題を回避するには、Web サイトの管理者には、次の HTTP ヘッダーを使用するように Web ページを構成する方法があります。 Content-Type: text/html;charset=iso-2022-jp |
これだと、META タグだけで対応できないので、ちょっと不便ですが…。
関連サイト:
MS10-090 導入後の不具合: 世の中は不思議なことだらけ
今年最後のUpdateでIE文字化け祭りな件について。 - へっぽこデジタル生活
IE8+ISO-2022-JPのサイトで文字化け - 雑記+珍品展示(新館)
理系人間が語る IEがISO-2022-JPをサポートしない
Translate
こんにちは。
私もまだ2000を使っているので、黒翼猫さんのブログ大変に助かっています。
そこで、日本語でフリーで手軽に使えるファイヤールフォールソフトのPC Tools Firewall Plusを使ってみたいのですが、XPからの対応で、しかも、2000では何か不具合がるような書き込みをどこかで見たことがあるような気がするので、PC Tools Firewall Plusが2000でも使えるのか検証をお願いしたいのですが宜しいでしょうか?
私自身こういったことには詳しくないので黒翼猫さんのお力をお借りしたいと思いこちらにコメントさせて頂きました。よろしくお願いします。
こんにちは。
私もまだ2000を使っているので、黒翼猫さんのブログ大変に助かっています。
そこで、日本語でフリーで手軽に使えるファイヤールフォールソフトのPC Tools Firewall Plusを使ってみたいのですが、XPからの対応で、しかも、2000では何か不具合がるような書き込みをどこかで見たことがあるような気がするので、PC Tools Firewall Plusが2000でも使えるのか検証をお願いしたいのですが宜しいでしょうか?
私自身こういったことには詳しくないので黒翼猫さんのお力をお借りしたいと思いこちらにコメントさせて頂きました。よろしくお願いします。
こんにちは。
私もまだ2000を使っているので、黒翼猫さんのブログ大変に助かっています。
そこで、日本語でフリーで手軽に使えるファイヤールフォールソフトのPC Tools Firewall Plusを使ってみたいのですが、XPからの対応で、しかも、2000では何か不具合がるような書き込みをどこかで見たことがあるような気がするので、PC Tools Firewall Plusが2000でも使えるのか検証をお願いしたいのですが宜しいでしょうか?
私自身こういったことには詳しくないので黒翼猫さんのお力をお借りしたいと思いこちらにコメントさせて頂きました。よろしくお願いします。
こんにちは。
「世の中は不思議なことだらけ」にトラックバックをありがとうございます。
マイクロソフト担当者に確認しましたところ「文字化け回避にF5を押すのは非常に危険」ということはないという情報をいただきました。
危険なのは、レジストリの書き換えの方だそうですので、よろしくお願いいたします。
こんにちは。
「世の中は不思議なことだらけ」にトラックバックをありがとうございます。
マイクロソフト担当者に確認しましたところ「文字化け回避にF5を押すのは非常に危険」ということはないという情報をいただきました。
危険なのは、レジストリの書き換えの方だそうですので、よろしくお願いいたします。
こんにちは。
「世の中は不思議なことだらけ」にトラックバックをありがとうございます。
マイクロソフト担当者に確認しましたところ「文字化け回避にF5を押すのは非常に危険」ということはないという情報をいただきました。
危険なのは、レジストリの書き換えの方だそうですので、よろしくお願いいたします。
以前記事にしたのですが PC Tools Firewall は『無料版をダウンロードさせ、スキャンで偽りの検索結果を出し、有料版を購入させる』という事例があったソフトなので正直入れたくはないソフトです
また、知人からの報告で、特定のソフトとの相性が悪く、プロセスブロック機能が未成熟でOSごと巻き込んでクラッシュする現象が報告されているので、常用するのは微妙なソフトだと思います。
ご確認を。
以前記事にしたのですが PC Tools Firewall は『無料版をダウンロードさせ、スキャンで偽りの検索結果を出し、有料版を購入させる』という事例があったソフトなので正直入れたくはないソフトです
また、知人からの報告で、特定のソフトとの相性が悪く、プロセスブロック機能が未成熟でOSごと巻き込んでクラッシュする現象が報告されているので、常用するのは微妙なソフトだと思います。
ご確認を。
以前記事にしたのですが PC Tools Firewall は『無料版をダウンロードさせ、スキャンで偽りの検索結果を出し、有料版を購入させる』という事例があったソフトなので正直入れたくはないソフトです
また、知人からの報告で、特定のソフトとの相性が悪く、プロセスブロック機能が未成熟でOSごと巻き込んでクラッシュする現象が報告されているので、常用するのは微妙なソフトだと思います。
ご確認を。
ありがとうございます。
こちらでももう少し調べて見ます。
IE互換ブラウザの危険性についても追記させて頂きました。
ありがとうございます。
こちらでももう少し調べて見ます。
IE互換ブラウザの危険性についても追記させて頂きました。
ありがとうございます。
こちらでももう少し調べて見ます。
IE互換ブラウザの危険性についても追記させて頂きました。
警告文は後者のレジストリエントリの文にしか掛からないと思うんですけど
この後の、この回避策は~、 具体的には~がF5に追求してないじゃないですか
警告文は後者のレジストリエントリの文にしか掛からないと思うんですけど
この後の、この回避策は~、 具体的には~がF5に追求してないじゃないですか
警告文は後者のレジストリエントリの文にしか掛からないと思うんですけど
この後の、この回避策は~、 具体的には~がF5に追求してないじゃないですか
Twitter でですが、マイクロソフト株式会社 IE Team さんよりこのような回答が来ました。
http://twitter.com/#!/mskkie/status/16823354593910784
Twitter でですが、マイクロソフト株式会社 IE Team さんよりこのような回答が来ました。
http://twitter.com/#!/mskkie/status/16823354593910784
Twitter でですが、マイクロソフト株式会社 IE Team さんよりこのような回答が来ました。
http://twitter.com/#!/mskkie/status/16823354593910784
つまりKB2416400に含まれているのはJISエンコーディングの脆弱性の修正そのものではなく、とりあえず自動検出を無効にすることで脆弱性を利用されにくくするという対処療法的なパッチということでしょうか?
つまりKB2416400に含まれているのはJISエンコーディングの脆弱性の修正そのものではなく、とりあえず自動検出を無効にすることで脆弱性を利用されにくくするという対処療法的なパッチということでしょうか?
つまりKB2416400に含まれているのはJISエンコーディングの脆弱性の修正そのものではなく、とりあえず自動検出を無効にすることで脆弱性を利用されにくくするという対処療法的なパッチということでしょうか?
あー勘違いしてました、すみません。
metaタグによる文字エンコード指定は「自己申告」なので信用できないため、KB2416400でサーバのHTTPヘッダだけで文字エンコード判別するようにしたので、HTTPヘッダが正しくiso-2022-jpになってないサイトが化けるということなんですね。
あー勘違いしてました、すみません。
metaタグによる文字エンコード指定は「自己申告」なので信用できないため、KB2416400でサーバのHTTPヘッダだけで文字エンコード判別するようにしたので、HTTPヘッダが正しくiso-2022-jpになってないサイトが化けるということなんですね。
あー勘違いしてました、すみません。
metaタグによる文字エンコード指定は「自己申告」なので信用できないため、KB2416400でサーバのHTTPヘッダだけで文字エンコード判別するようにしたので、HTTPヘッダが正しくiso-2022-jpになってないサイトが化けるということなんですね。