Microsoft Internet Explorerに新たな脆弱性が発見された。この脆弱性を突かれると、不正なファイルをダウンロードさせられる危険性がある。セキュリティ企業のSecuniaでは「中程度に重大」としている。
Secuniaのアドバイザリーによれば、この脆弱性は、IEで「名前を付けて画像を保存」命令を実行し、複数の拡張子が含まれている場合に最後の拡張子を隠すオプションが選択されている場合に発生する。
不正なWebサイトが、悪意のあるスクリプトコードが埋め込まれた画像ファイルを任意の拡張子で保存させるといったことが可能となり、例えば.haの拡張子を付けた不正なHTMLアプリケーションなどを画像ファイルに偽装してダウンロードさせてユーザーに実行させることができる。既知のファイルタイプの場合に拡張子を隠すオプションが選択されている必要があるが、この設定はデフォルトでオンになっている。
この脆弱性はInternet Explorer 6.0とMicrosoft Windows XP SP2でフルにパッチを当てたシステムで確認されている。なお、実証コードは公開されている。
関連記事
- IEのIFrame欠陥を悪用するプログラムがまた出現――広告経由で感染
- IEのシェア、ついに90%台を割り込む――米調査報告
- IE媒介に拡散するBofraワーム――“The Register”のバナー広告に不正コード
- MS、IEの脆弱性公表は「無責任」と批判
- IEに中程度の脆弱性、SP2のセキュリティ回避の恐れ
- 親愛なるIEへ――お別れの手紙
- IEのIFrame欠陥を悪用する2番目のMyDoomが出現
- IEの欠陥を突く新型MyDoomが登場――不審なメール添付プログラムに要注意
- 未パッチのIE 6脆弱性、MSは「調査中」
- IEのステータスバーにURL詐称の問題
- IE 6に新たなバッファオーバーフロー、パッチは未公開、実証コードは公に
- そろそろIEを捨てる時?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.