Security Update 2004-02-23
- Panther(10.3.2) Client
- Panther(10.3.2) Server
- Jaguar(10.2.8) Client
- Jaguar(10.2.8) Server
- Quick Time Streaming Server
詳細がつまびらかになってから検索してみよう、ということでCAVもリンクすることに決定。
- CoreFoundation:CAN-2004-0168
- 警告ログの方法を改善。aaron@vtty.comによる。
- DiskArbitration:CAN-2004-0167
- 書き換え可能なリムーバブルメディアの初期化に関して、より安全に動作するよう改善。aaron@vtty.comによる。
- IPSec:CAN-2004-0164
- 鍵交換に関する確認手法を改善。
- 関連:unauthorized deletion of IPsec (and ISAKMP) SAs in racoon
- Point-to-Point-Protocol:CAN-2004-0165
- エラーメッセージに関する取り扱い方法の改善。これまた StakeのDave .Gによる発見。ほんと、このひと偉い。
- QuickTime Streaming Server:CAN-2004-0169
- リクエストデータの確認方法の改善。
- Safari:CAN-2004-0166
- ステータスバーのURL偽装が可能であった問題の改善。
- tcpdump:CAN-2003-0989, CAN-2004-0055, CAN-2004-0057
- バージョンアップデート。
[harden-mac:0602] [security-announce] , APPLE-SA-2004-02-23 Security Update 2004-02-23
と、ここまで書いて、古暮涼さんの私家版翻訳の存在に気づく。私のまずい訳よりもこちらを参照のこと。
クライアントとして使っていて嬉しいのは、SafariのURL偽装がようやく対処されたということでしょうか。
JavaScriptでページを飛ばすような無法なサイトに関しては、ユーザスタイルシートで防衛しましょう。
防衛用ユーザスタイルシート
以下の内容をユーザスタイルシートに追記。今回の修正で、単純なURL偽装は防げるはずなので(ってPantherはまだだっけ?)、onclickを含んだA要素の後に、Click Action:ほにゃららが表示されるようにしました。他にも、この手合いのアブナイのは、フォームのボタンとか、リンクの上にかぶせた透明なブロックとかあるんで、気にする人はCSSに追記して使ってください。もし、全てのonclickを検出したいなら、最初のAを抜けばいいはず。
A[onclick]:after { backgroundcolor:rgba(100%,100%,0%,0.5); color:black; fontweight:bold; content:"Click Action:" attr(onclick)}
onclickを全部検出するように修正。