 |
 |
記事検索 |
最新ニュース |
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
Windows XPに危険なファイルをフォルダに見せかけることができる脆弱性 |
||||||||||||
|
||||||||||||
|
~現在のところ回避策やパッチは存在しないため、十分な警戒が必要
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
セキュリティベンダーであるデンマークのSecunia社は、Windows XPにHTMLファイルをフォルダに見せかけることができる脆弱性を発表した。この脆弱性を悪用することにより、悪意あるスクリプトなどを含むHTMLファイルをフォルダに見せかけることによりダブルクリックさせ、任意のコードが実行されてしまう危険がある。現在のところ、回避策やセキュリティ修正プログラム(パッチ)は提供されていない。 この脆弱性は、Windows XPで新たに実装された拡張子「.folder」が原因。Secuniaによると、悪意あるコードを含んだHTMLファイルであっても、拡張子を「.folder」とすると、アイコンはフォルダアイコンで表示される。しかし、そのアイコンをダブルクリックするとWindows ExplorerはHTMLファイルとして解釈し、記述されたHTMLを実行してしまうため、HTML内のスクリプトなども実行されてしまうというもの。すでに、Secuniaなど複数のWebサイトにおいて、この脆弱性を実証するためのファイルが公開されているため、十分な注意が必要だ。 例えば、悪意あるコードを埋め込んだHTMLファイルのファイル名を「test.folder」とすると、見た目のアイコンは「test」という名前のフォルダになる(Windows XPのデフォルト設定の場合)。そして、そのフォルダを開こうとダブルクリックすると、そのまま悪意あるコードを埋め込んだHTMLが実行されることになる。 30日現在、この脆弱性を修正するためのパッチや、設定による回避策は提供されていない。このためこの脆弱性を悪用されないための有効な方法は、「アイコンがフォルダであっても、疑わしい場合には絶対にダブルクリックしない」という基本姿勢しかないと言える。 ただし、見抜く手助けになるかもしれない手段として、拡張子「.folder」に注意するという方法がある。拡張子「.folder」は、Windows XPのデフォルト設定では表示されないように設定されているため、見ることができないが設定を変更し、拡張子が「.folder」となっている場合には注意するというもの。 具体的には、フォルダの「ツール」タブの「フォルダ オプション」をクリックし、「表示」タブの詳細設定欄にある「登録されている拡張子は表示しない」のチェックを外すというものだ。このチェックを外すと拡張子「.folder」が表示されるため、疑わしいフォルダを見抜く手助けになるだろう。
関連情報 ■URL ニュースリリース(英文) http://www.secunia.com/advisories/10708/
( 大津 心 )
- ページの先頭へ-
|
