速報
2004/11/27 07:41 更新
SP2適用のIE6に画像ダウンロード詐称の脆弱性
Windows XP SP2で最新パッチ適用のIE 6.0で、新たな脆弱性が発見された。
Microsoft Internet Explorerに新たな脆弱性が発見された。この脆弱性を突かれると、不正なファイルをダウンロードさせられる危険性がある。セキュリティ企業のSecuniaでは「中程度に重大」としている。
Secuniaのアドバイザリーによれば、この脆弱性は、IEで「名前を付けて画像を保存」命令を実行し、複数の拡張子が含まれている場合に最後の拡張子を隠すオプションが選択されている場合に発生する。
不正なWebサイトが、悪意のあるスクリプトコードが埋め込まれた画像ファイルを任意の拡張子で保存させるといったことが可能となり、例えば.haの拡張子を付けた不正なHTMLアプリケーションなどを画像ファイルに偽装してダウンロードさせてユーザーに実行させることができる。既知のファイルタイプの場合に拡張子を隠すオプションが選択されている必要があるが、この設定はデフォルトでオンになっている。
この脆弱性はInternet Explorer 6.0とMicrosoft Windows XP SP2でフルにパッチを当てたシステムで確認されている。なお、実証コードは公開されている。
関連記事
- IEのIFrame欠陥を悪用するプログラムがまた出現――広告経由で感染
- IEのシェア、ついに90%台を割り込む――米調査報告
- IE媒介に拡散するBofraワーム――“The Register”のバナー広告に不正コード
- MS、IEの脆弱性公表は「無責任」と批判
- IEに中程度の脆弱性、SP2のセキュリティ回避の恐れ
- 親愛なるIEへ――お別れの手紙
- IEのIFrame欠陥を悪用する2番目のMyDoomが出現
- IEの欠陥を突く新型MyDoomが登場――不審なメール添付プログラムに要注意
- 未パッチのIE 6脆弱性、MSは「調査中」
- IEのステータスバーにURL詐称の問題
- IE 6に新たなバッファオーバーフロー、パッチは未公開、実証コードは公に
- そろそろIEを捨てる時?
関連リンク
[ITmedia]
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
トップエンジニア村上氏と上野氏が競演!
「Windows 7搭載PC」で何が変わったのか?
@IT「Windows 7」 特設サイトオープン!
IT基盤をアウトソースした中堅中小企業たち![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
1日の処理を1秒にも――MySQLの達人が語る
「どこでもオフィス」で業務効率アップ!
「ノートPCの持ち出し禁止」だけで大丈夫?
技術者不在でも「すぐに使える」
「設備」「ネットワーク」「マネジメント」
業務でオープンソースは不安、は過去のこと
かつての日本の成功体験はもう通じない
@ITメールソリューションLive! in Tokyo
経営層が信頼から企業価値を生むために
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター