2020-10 B リリースで、古い JScript(jscript.dll)による実行を無効化するオプションが追加されたそうです。JavaScript ではなくて、JScript。CVE-2020-0674 のアクセス許可の変更(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001)ではない緩和策ってやつみたい。更新しただけでは何も変わらない。無効化するには、要レジストリ編集。
Disabling legacy scripting engine JScript in Internet Explorer
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/disabling-legacy-scripting-engine-jscript-in-internet-explorer/ba-p/1777563
Internet Explorer での JScript の実行を無効にするオプション
https://support.microsoft.com/ja-jp/help/4586060/
x64 Windows 10 でインターネット ゾーン(3)と制限付きサイト(4)で無効化するんだったらこんな感じ? コマンドプロンプトを管理者として開いて実行。(効果があるか、正しいのかは、責任放棄)
C:\> REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /v 140D /t REG_DWORD /d 3 /f
C:\> REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4" /v 140D /t REG_DWORD /d 3 /f
C:\> REG
ADD
"HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\3" /v 140D /t REG_DWORD /d 3 /f
C:\> REG ADD
"HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\4" /v 140D /t REG_DWORD /d 3 /f
x86 Windows 10 だったらこんな感じ?
C:\> REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /v 140D /t REG_DWORD /d 3 /f
C:\> REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4" /v 140D /t REG_DWORD /d 3 /f
元に戻すには /d 3 を /d 0 にして実行。
インターネット ゾーンで無効化したけど、スクリプトが実行されなくなるわけではないみたい。IE レガシ モードでも jscript.dll (古いほう)が IE にロードされなくなり、新しい jscript9.dll だけになった。こういうことでええのかな??? ローカル イントラネット、制限付きサイト、マイ コンピューターでは引き続き jscript.dll がロードされる。
demo.html はこんな感じ。
<html>
<head>
<meta http-equiv="x-ua-compatible" content="IE=EmulateIE8">
<title>demo</title>
</head>
<body>
<form><input type="button" value="Click" onClick="demo()"></form>
<script type="text/jscript">
...(以下略)
Windows 8.1 とか、古い Windows 10 とかはちょっと手順が異なるのでご注意。
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。