Developer's Blog

【重要】「スクリプトによる貼りつけ処理」に関する脆弱性について

フェンリル開発担当の田林です。
Sleipnir、Grani には、デフォルトの設定でウェブサイト側からクリップボードの内容が盗聴・改竄されるおそれがある脆弱性が存在します。
本日 15:00 に差し替えを行いましたので、上書きインストールを行うか、下記の設定を変更して下さい。
Sleipnir 2.9.6 ダウンロードページ
Grani 4.5 ダウンロードページ
1. IE6 以前を使用している場合
「ツール」メニューから「インターネットオプション」を選ぶ。
「セキュリティ」タブを選び、「レベルのカスタマイズ」ボタンを押す。
「スクリプト」の項目にある「スクリプトによる貼り付け処理の許可」の項目を「無効にする」または「ダイアログを表示する」に設定する。
※「インターネットオプション」の設定を使用するため「Sleipnir(Grani) オプション」で設定の必要はありません。
2. IE7 以降を使用している場合
デフォルトで「インターネットオプション」の「スクリプトによる貼り付け処理の許可」の項目は「ダイアログを表示する」になっています。
Sleipnir(Grani) オプション | ビュー | Trident 基本設定 | 詳細設定 スクリプトによる貼り付け処理のダイアログ設定を有効にする のチェックをオンにして下さい。


フェンリルからのお知らせは下記の Twitter アカウントでも行っております。
Twitterフェンリルオフィシャルアカウントをフォローする
今後もフェンリル / Sleipnir / Grani をよろしくお願いします。

Facebook コメント

コメント

DPC2010年11月25日 15:59

バージョン表記どうにかしてよ。
同じバージョンのままなんて混乱するよ。

NNS2010年11月25日 18:15

このバージョン差し替えは、Sleipnir側に通知いくんですか?
いかないのなら、脆弱性は残ったままだと思いますよ。
だって、差し替えられた事に気付きませんから。
ブログやTwitterで書けば十分じゃありません。
ご丁寧に見てる人はどれくらいいるんでしょう・・?
第一何故差し替えでなければいけないのか分かりません。
Sleipnir2.9.6.1やSleipnir2.9.7など、バージョンを上げて更新通知がいくようにするのが、ユーザーにとってハピネスな事です。

NGS2010年11月25日 20:19

既にお二方も言っておられますが、バグ修正でもバージョンを上げるべきだと思います。
【重要】というなら尚更です。
見方によってはセキュリティリスクに関わる不具合の隠蔽ともみられる恐れもあります。
リリースした当日ならまだしも、2.9.6公開から既に一ヶ月も経過しているのですが・・・
(本来であれば、リリースした当日でもリリース毎にバージョンを更新するのが常識だとは思いますが・・・)
何のためのバージョン管理でしょうか?今一度お考えください。
見た目だけではなく、中身やポリシーについてもハピネスを提供してください。

そろそろSleipnirについて一言(ry2010年11月26日 1:16

スクリプトによる貼りつけ処理の脆弱性で Sleipnir/Grani/TB-8 が差し替え

インターネットオプションが規定の設定でかつ Sleipnir オプションも規定の設定だと、ウェブサイトを閲覧した際にクリップボードを盗聴されたりクリップボ...

mam02010年11月27日 1:17

私も同意見です。
差し替えるのならバージョン表記はどのような形でもいいので変えてほしいですし、また変えるべきだと思います。

yamada2010年11月27日 14:45

現バージョンのGraniにしてから、しょっちゅうGraniが起動しなくなるんですが、これに関係あるのでしょうか?
PCを再起動しないと二度と立ち上がらないし、修復しようとしても、使用中ということになっていてできません。

sutesuke2010年11月27日 19:51

書いてある事をやってもjavaが有効になりません。

tim2010年11月28日 4:14

バージョンアップ扱いにして困る人はいないと思いますが、バージョンアップ扱いにしない場合、利用者の大半が困るのではと思います。

kato@teamOS/2jp2010年12月02日 15:28

NNS様、脆弱性告知が、やっと出てます
情報調整が要るのは分るけれど、先のバージョンが出て
11月末までで対応した人には伝わらないのですか。
例えば素人が「セキュリティ」検索でたどり着くには
http://www.ipa.go.jp/security/
脆弱性対策情報 【JVN】アプレットで別窓ポップアップ
http://jvn.jp/jp/JVN76662040/
ベンダー情報「当該製品あり」リンクから、
一枚次に、このpost_47ページにリンク。
で配布のリンクから落としに行かないと。

またかよ・・・2010年12月09日 0:40

何でいつもバージョンあげないの?
毎度の事ながらこの対応は意味不明でアンハピネス

ツーショットダイヤルについて2011年12月06日 21:52

8dXsXia+, peachkiss.com/sp, ツーショットダイヤルについて, http://peachkiss.com/sp/?page_id=52

名前(必須)

メールアドレス(必須)

URL

スタイル用のタグが使えます

このコメント欄でのご質問、ご要望には、開発チームから回答できない場合があります。ご質問、ご要望は「User Community」内のフォーラムまでお寄せください。