2020/10/15

IE で jscript.dll の実行を無効化するオプション(2020-10 B 以降)

2020-10 B リリースで、古い JScript(jscript.dll)による実行を無効化するオプションが追加されたそうです。JavaScript ではなくて、JScript。CVE-2020-0674 のアクセス許可の変更(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001)ではない緩和策ってやつみたい。更新しただけでは何も変わらない。無効化するには、要レジストリ編集。

Disabling legacy scripting engine JScript in Internet Explorer
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/disabling-legacy-scripting-engine-jscript-in-internet-explorer/ba-p/1777563

Internet Explorer での JScript の実行を無効にするオプション
https://support.microsoft.com/ja-jp/help/4586060/

x64 Windows 10 でインターネット ゾーン(3)制限付きサイト(4)で無効化するんだったらこんな感じ? コマンドプロンプトを管理者として開いて実行。(効果があるか、正しいのかは、責任放棄)

C:\> REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /v 140D /t REG_DWORD /d 3 /f
C:\> REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4" /v 140D /t REG_DWORD /d 3 /f
C:\> REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /v 140D /t REG_DWORD /d 3 /f
C:\> REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4" /v 140D /t REG_DWORD /d 3 /f

x86 Windows 10 だったらこんな感じ?

C:\> REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /v 140D /t REG_DWORD /d 3 /f
C:\> REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4" /v 140D /t REG_DWORD /d 3 /f
 

元に戻すには /d 3/d 0 にして実行。

インターネット ゾーンで無効化したけど、スクリプトが実行されなくなるわけではないみたい。IE レガシ モードでも jscript.dll (古いほう)が IE にロードされなくなり、新しい jscript9.dll だけになった。こういうことでええのかな??? ローカル イントラネット制限付きサイトマイ コンピューターでは引き続き jscript.dll がロードされる。

demo.html はこんな感じ。

<html>
<head>
  <meta http-equiv="x-ua-compatible" content="IE=EmulateIE8">
  <title>demo</title>
</head>
<body>
<form><input type="button" value="Click" onClick="demo()"></form>
<script type="text/jscript">
...(以下略)

Windows 8.1 とか、古い Windows 10 とかはちょっと手順が異なるのでご注意。

0 件のコメント: