Security Update 2004-02-23

詳細がつまびらかになってから検索してみよう、ということでCAVもリンクすることに決定。

  • CoreFoundation:CAN-2004-0168
    • 警告ログの方法を改善。aaron@vtty.comによる。
  • DiskArbitration:CAN-2004-0167
    • 書き換え可能なリムーバブルメディアの初期化に関して、より安全に動作するよう改善。aaron@vtty.comによる。
  • IPSec:CAN-2004-0164
  • Point-to-Point-Protocol:CAN-2004-0165
    • エラーメッセージに関する取り扱い方法の改善。これまた StakeのDave .Gによる発見。ほんと、このひと偉い。
  • QuickTime Streaming Server:CAN-2004-0169
    • リクエストデータの確認方法の改善。
  • Safari:CAN-2004-0166
    • ステータスバーのURL偽装が可能であった問題の改善。
  • tcpdump:CAN-2003-0989, CAN-2004-0055, CAN-2004-0057
    • バージョンアップデート。

[harden-mac:0602] [security-announce] , APPLE-SA-2004-02-23 Security Update 2004-02-23

と、ここまで書いて、古暮涼さんの私家版翻訳の存在に気づく。私のまずい訳よりもこちらを参照のこと。

クライアントとして使っていて嬉しいのは、SafariのURL偽装がようやく対処されたということでしょうか。

JavaScriptでページを飛ばすような無法なサイトに関しては、ユーザスタイルシートで防衛しましょう。

防衛用ユーザスタイルシート

以下の内容をユーザスタイルシートに追記。今回の修正で、単純なURL偽装は防げるはずなので(ってPantherはまだだっけ?)、onclickを含んだA要素の後に、Click Action:ほにゃららが表示されるようにしました。他にも、この手合いのアブナイのは、フォームのボタンとか、リンクの上にかぶせた透明なブロックとかあるんで、気にする人はCSSに追記して使ってください。

もし、全てのonclickを検出したいなら、最初のAを抜けばいいはず。

A[onclick]:after {
background­color:rgba(100%,100%,0%,0.5);
color:black;
font­weight:bold;
content:"Click Action:" attr(onclick)}

onclickを全部検出するように修正。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

%d人のブロガーが「いいね」をつけました。