[port139ml:04697] Re: 結論は“捨てられないIE”？（Re: Re: IE すてられるのか？

[Sonoda Michio <sonodam@xxxxxxxx>]

そのだです。

> そもそも、Internet Explorer といっても、最近の iexplorer.exe は、各種
> DLL を呼び出す、皮に過ぎません。実体は、例えば XML のパーサであれば
> msxml.dll とか HTML であれば、mshtml.dll が行っています。なので、EXE
> レベルで iexplorer.exe に制限をかけても、別のプログラムがその DLL を呼
> び出していれば、結局脆弱性の影響を受ける可能性はあることになりますねぇ。

そうなんですよね。
だからいくらツールを実装しようが、iexplorer.exeというのを制限しているだ
けであれば、たとえばoutlookを見逃してしまうとか、sleipnirを忘れてしまう
とか、そういうリスクは残ります。
ただ、そのリスクを残さないためにIEとOutlook両方を制限かけるというのは、
業務上の影響があまりに大きいので、機能制限できるところはしながらどうして
も止めざるを得ない場合はトリガーとしてのexeファイルでしかなくてもそこを
止める、ということにしかならないんでしょうかねえ。

-- 
Sonoda Michio
Security Consultant
Microsoft MVP(Security)