★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 900.html
 ★阿修羅♪
次へ 前へ
IEの「名前を付けて画像を保存」機能にセキュリティ・ホール【IT_Pro】◎隠しファイル表示の時の注意事項
http://www.asyura2.com/0406/it06/msg/900.html
投稿者 クエスチョン 日時 2004 年 11 月 29 日 19:34:19:WmYnAkBebEg4M
 

 下記投稿もご参照ください。

◎WindowsXPと拡張子表示、隠しファイル表示の注意事項。
http://www.asyura.com/0310/it02/msg/188.html
投稿者 クエスチョン 日時 2003 年 9 月 28 日 09:05:54:WmYnAkBebEg4M

シジミさんに「設定変更しました。」と言われた時にはうれしかったな〜ぁ、、。

********************************************************************************

IEの「名前を付けて画像を保存」機能にセキュリティ・ホール【IT_Pro】◎隠しファイル表示の時の注意事項
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041126/153135/

[2004/11/26]

 デンマークSecuniaは現地時間11月26日,Internet Explorer(IE)に見つかったセキュリティ・ホールを公表した。セキュリティ・ホールを悪用すれば,危険なファイルを画像ファイルに見せかけて,ユーザーにダウンロードさせることが可能となる。実際,そのようなファイルが公開されているという。Windows XP SP2も影響を受ける。パッチは未公開。対策は「登録されているファ イルの拡張子は表示しない」を無効にすること

 今回のセキュリティ・ホールは,Webページ中の画像ファイルを保存する際に,IEがそのファイルの拡張子を勝手に取り除く場合があることが原因。具体的には,表示させているWebページ中の画像を,マウスの右クリックで表示される「名前を付けて画像を保存」で保存する場合に発生する。マウスで指定した画像ファイルの名前に複数の拡張子が付けられている場合,IEは,最後の拡張子を取り除いて保存する。

 例えば,画像ファイル名が「malicious.hta.jpg」だった場合,「malicious.hta」として保存する。ここで,malicious.hta.jpgが悪質なスクリプト・コードを含む画像ファイルだった場合,malicious.htaとして保存されたファイルをユーザーが実行すれば(開けば),そのファイルはHTMLアプリケーション(.hta)としてWindowsに解釈され,含まれるコードが実行されることになる。つまり,悪質なサイト管理者は,悪質なスクリプト・コードを含む画像ファイルを,任意の拡張子で保存させることができる

 対策は,「ツール」メニュー内の「フォルダ オプション」の設定で「登録されているファイルの拡張子は表示しない」を無効にすること。デフォルトでは有効になっている。

 今回のセキュリティ・ホール対策としてだけではなく,「登録されているファイルの拡張子は表示しない」は無効にしておきたい(チェックを外しておきたい)。この“機能”を悪用する手法は,以前から多数報告されている(関連記事)。

◎参考資料
◆Microsoft Internet Explorer "Save Picture As" Image Download Spoofing(デンマークSecunia)
◆画像を右クリックして [名前を付けて画像を保存] を選択すると,画像が正しい拡張子で保存されない(マイクロソフト)

(勝村 幸博=IT Pro)

 次へ  前へ

IT6掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。