スタイルシートにおけるXSS脆弱性の修正について − はてなダイアリー日記
一部ブラウザで、全角文字を利用すると expression 関数を実行できてしまう脆弱性が見つかりました
むー。すごいなぁ。中身のロジック的には、EUC-JP → Unicode → CP1252 としているようなレガシーなコードが残っているのか、それとも Unicode のまま NFD NFKD or NFKC でもかけているのか…。expression 以外にも同じようなのあるかも…。(追記: どちらでもなさそう…。むー。なんというハンパな動き。全角だけじゃないじゃん)
ちなみにhoshikuzu さんの感想では、
はてなさんなり報告者さんなり、IPAを通じてMicorosoft社に申し入れをしていただくと嬉しいかなあ。これ、きっと重要なバグだと思います、はい。
とありますが、個人的には、これは Microsoft としては脆弱性としては受け入れがたいのではないかと思います。この仕様により、IE そのものが危険にさらされるわけではないですから。いや、まったくな個人的・経験的な意見ですけど。
社内のOSやアプリケーションのライセンスを調査せよ! − @IT
ずきん日記より。関係ないんだけど、(1)ソフトウェア購入 → (2)バックアップ作成 → (3)バックアップ紛失 という場合には、原本を持っていたとしても、バックアップの紛失により所有権をなくしているので、原本を使用することはできなくなります*1
参考: Q8 バックアップ・コピーを作った後にコピー元になった正規の製品を人にあげたのですが、手元に残ったバックアップ・コピーを引き続き使用することはできますか。 (インタ−ネット上での著作権侵害FAQ, BSA) … 「滅失」ってどんな状態だろう…。
*1:盗難などの理由により所有権が移転していない場合は使用が許される…はず
