ニュース
2004/08/26 22:24 更新
IEのドラッグ&ドロップの脆弱性突いた攻撃が公に?
米SANSのInternet Storm Centerが、Internet Explorerのドラッグ&ドロップ処理の脆弱性を突いた攻撃の報告を受けたという。
米SANSのInternet Storm Center(ISC)によると、8月19日に公になった、Internet Explorer(IE)のドラッグ&ドロップ処理の脆弱性を突いた攻撃が複数報告されているという。
この脆弱性は、IE上でファイルのドラッグ&ドロップを行うと、ユーザーがそれと知らないうちに、PC上の任意の場所に、任意のファイルがダウンロードされてしまうという問題だ。
脆弱性を指摘したhttp-equiv氏は、Webページ上の画像をドラッグ&ドロップすると、ユーザーのスタートアップフォルダに実行ファイルがダウンロードされるという検証デモを公開していた。ここで、ファイルがダウンロードされたことに気付かずにいると、次にPCを再起動した際に自動的に実行されてしまう。
さらに別の人物、mikx氏は、この検証デモを下敷きに、JavaScriptに細工を施し、スクロールバー中に画像ファイルを埋め込んで同様の結果をもたらすというデモを公開した。この場合、ユーザー本人は単にマウスで画面をスクロールさせただけで、ドラッグ&ドロップを行ったつもりはないのに、やはり実行ファイルがダウンロードされてしまう。
この脆弱性を突かれないようにするには、Secuniaが最初のアドバイザリで推奨しているとおり、アクティブ スクリプトを無効にするしかない。Windows XP Service Pack 2(SP2)で追加された「バイナリ ビヘイビア」の設定によって悪用を防げるという情報もあるが、それでもなおmikx氏のデモが有効だったという情報もある。
今のところ、ISCが報告を受けたという攻撃の詳細は明らかにされていないが、十分な注意が必要だろう。
関連記事
関連リンク
[高橋睦美,ITmedia]
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
@IT「Windows 7」 特設サイトオープン!
「ノートPCの持ち出し禁止」だけで大丈夫?
IT基盤をアウトソースした中堅中小企業たち
1日の処理を1秒にも――MySQLの達人が語る![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
「Windows 7搭載PC」で何が変わったのか?
「どこでもオフィス」で業務効率アップ!
トップエンジニア村上氏と上野氏が競演!
「設備」「ネットワーク」「マネジメント」
業務でオープンソースは不安、は過去のこと
技術者不在でも「すぐに使える」
企業はどこまでクラウドに取り組むべきか
@ITメールソリューションLive! in Tokyo
経営層が信頼から企業価値を生むために
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター