Internet Watch logo
記事検索
最新ニュース

Windows XPに危険なファイルをフォルダに見せかけることができる脆弱性

〜現在のところ回避策やパッチは存在しないため、十分な警戒が必要

 セキュリティベンダーであるデンマークのSecunia社は、Windows XPにHTMLファイルをフォルダに見せかけることができる脆弱性を発表した。この脆弱性を悪用することにより、悪意あるスクリプトなどを含むHTMLファイルをフォルダに見せかけることによりダブルクリックさせ、任意のコードが実行されてしまう危険がある。現在のところ、回避策やセキュリティ修正プログラム(パッチ)は提供されていない。

 この脆弱性は、Windows XPで新たに実装された拡張子「.folder」が原因。Secuniaによると、悪意あるコードを含んだHTMLファイルであっても、拡張子を「.folder」とすると、アイコンはフォルダアイコンで表示される。しかし、そのアイコンをダブルクリックするとWindows ExplorerはHTMLファイルとして解釈し、記述されたHTMLを実行してしまうため、HTML内のスクリプトなども実行されてしまうというもの。すでに、Secuniaなど複数のWebサイトにおいて、この脆弱性を実証するためのファイルが公開されているため、十分な注意が必要だ。

 例えば、悪意あるコードを埋め込んだHTMLファイルのファイル名を「test.folder」とすると、見た目のアイコンは「test」という名前のフォルダになる(Windows XPのデフォルト設定の場合)。そして、そのフォルダを開こうとダブルクリックすると、そのまま悪意あるコードを埋め込んだHTMLが実行されることになる。

 30日現在、この脆弱性を修正するためのパッチや、設定による回避策は提供されていない。このためこの脆弱性を悪用されないための有効な方法は、「アイコンがフォルダであっても、疑わしい場合には絶対にダブルクリックしない」という基本姿勢しかないと言える。

 ただし、見抜く手助けになるかもしれない手段として、拡張子「.folder」に注意するという方法がある。拡張子「.folder」は、Windows XPのデフォルト設定では表示されないように設定されているため、見ることができないが設定を変更し、拡張子が「.folder」となっている場合には注意するというもの。

 具体的には、フォルダの「ツール」タブの「フォルダ オプション」をクリックし、「表示」タブの詳細設定欄にある「登録されている拡張子は表示しない」のチェックを外すというものだ。このチェックを外すと拡張子「.folder」が表示されるため、疑わしいフォルダを見抜く手助けになるだろう。


フォルダオプションによる設定方法イメージ。この設定は、あくまでも拡張子を表示するだけなので、最終的には本人の警戒が必要 HTMLファイルの拡張子を「.folder」にしてみたところ。アイコンはフォルダになったため、一見で中身はわからない

関連情報

URL
  ニュースリリース(英文)
  http://www.secunia.com/advisories/10708/


( 大津 心 )
2004/01/30 14:01

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.