★阿修羅♪ 現在地 HOME > 掲示板 > IT4 > 1012.html
 ★阿修羅♪
次へ 前へ
Opera_7シリーズにファイル名を偽装できる脆弱性【internet.watchの記事】
http://www.asyura2.com/0311/it04/msg/1012.html
投稿者 クエスチョン 日時 2004 年 2 月 20 日 19:08:36:WmYnAkBebEg4M
 

Opera_7シリーズにファイル名を偽装できる脆弱性【internet.watchの記事】
http://internet.watch.impress.co.jp/cda/news/2004/02/16/2100.html

 セキュリティベンダーであるデンマークのSecunia社は、Webブラウザ「Opera」に、ファイルをダウンロードする際に拡張子を偽装できる脆弱性を発見したと発表した。危険度は“中”。対象となるバージョンは、Opera 7シリーズ。

 この脆弱性は、Operaにおいてファイルをダウンロードする際に表示されるダウンロードダイアログにおいて「開く」ボタンをクリックすると発生する。この脆弱性を攻撃者に悪用されると、ユーザーに安全なPDFやTXTファイルだと思わせて、悪意のコードを含んだプログラムを実行させることができるという。

 原因は、ファイル名にCLSID(Class ID)を埋め込むことにより、本来開くべきアプリーケーションではなく、GUID(Globally Unique Identifier)に関連付けられたほかのアプリケーションでファイルを開いてしまうというもの。Secuniaが用意したデモサイトではPDFファイルだと思わせて、ファイルを開かせるデモが公開されている。

 この脆弱性を回避するためには、ダウンロードダイアログで「開く」を選択せずに、「保存」を選び、一旦PCに保存してから実行すれば本来のアプリケーションで実行されるため、問題が起きにくい。このため、対策としてダウンロードダイアログでは「開く」を選択せずに、一度「保存」してから実行することが推奨される。

関連情報

■URL
  ニュースリリース(英文)
  http://secunia.com/advisories/10760/
  デモサイト(英文)
  http://secunia.com/Internet_Explorer_File_Download_Extension_Spoofing_Test/

■関連記事
・ IEのダウンロードダイアログにファイル名を偽装できる脆弱性(2004/02/02)


( 大津 心 )
2004/02/16 12:21

 次へ  前へ

IT4掲示板へ



フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。