Internet Explorer のCHMの話
InfoTech Storage (ITS) プロトコルハンドラが Compiled HTML Help (CHM) ファイルに保存された HTML コンポーネントのセキュリティドメインを適切に判定しないために、クロスドメイン・スクリプティングの脆弱性が存在(JPCERT/CC JVN)
ということで回避には「ITS プロトコルハンドラ」を無効にするために以下のレジストリキーを削除もしくは名前変更。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\{ms-its,ms-it ss,its,mk}
- Vulnerability in Internet Explorer ITS Protocol Handler(US-CERT)
- セキュリティホールmemo該当記事
- IEのパッチ未公開セキュリティ・ホールをUS-CERTなどが警告,複数の攻撃コードが出回っている(ITPRo)
- IEに脆弱性、完全な解決策は存在せず(ITMedia)
- Vendor Status Note JVNTA04-099A(JPCERT/CC JVN)
- Status Tracking Note TRTA04-099A(JPCERT/CC JVN)
追記: