« Win用パッチ二個 | Main | MCJの12.1型ワイドノートPC »

›11 27, 2004

また新しいIEの脆弱性

[ PCニュース ]

 毎週一個は発見されているような気がしないでもないIEの脆弱性がまた一個増えたです。でも今回は推奨されるべき設定にすることで解決するので良しとする。

 この脆弱性は、複数の拡張子が連なったファイル名を持つWebページ中の画像を、IEの「Save Picture As(名前を付けて画像を保存)」コマンドを使ってダウンロードする際に、最後の拡張子が表示されないというもの。これにより、悪意のあるスクリプトを埋め込んだ画像ファイルを、HTMLアプリケーション(.hta)などの任意の拡張子に見せかけてユーザーにダウンロードさせ、実行させられるとしている。
 
 この現象は、パッチをフル適用したIE6とWindows XP SP2で確認されているという。ただし、フォルダオプションの表示設定で「Hide extension for known file types(登録されているファイルの拡張子は表示しない)」が有効になっていなければ発生しないため、対応策としては、この設定を無効にすることが示されている。

IEの「名前を付けて画像を保存」にファイル名スプーフィングの脆弱性


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?