セキュリティベンダーであるデンマークのSecunia社は、Windows XPにHTMLファイルをフォルダに見せかけることができる脆弱性を発表した。この脆弱性を悪用することにより、悪意あるスクリプトなどを含むHTMLファイルをフォルダに見せかけることによりダブルクリックさせ、任意のコードが実行されてしまう危険がある。現在のところ、回避策やセキュリティ修正プログラム(パッチ)は提供されていない。
この脆弱性は、Windows XPで新たに実装された拡張子「.folder」が原因。Secuniaによると、悪意あるコードを含んだHTMLファイルであっても、拡張子を「.folder」とすると、アイコンはフォルダアイコンで表示される。しかし、そのアイコンをダブルクリックするとWindows ExplorerはHTMLファイルとして解釈し、記述されたHTMLを実行してしまうため、HTML内のスクリプトなども実行されてしまうというもの。すでに、Secuniaなど複数のWebサイトにおいて、この脆弱性を実証するためのファイルが公開されているため、十分な注意が必要だ。
例えば、悪意あるコードを埋め込んだHTMLファイルのファイル名を「test.folder」とすると、見た目のアイコンは「test」という名前のフォルダになる(Windows XPのデフォルト設定の場合)。そして、そのフォルダを開こうとダブルクリックすると、そのまま悪意あるコードを埋め込んだHTMLが実行されることになる。
30日現在、この脆弱性を修正するためのパッチや、設定による回避策は提供されていない。このためこの脆弱性を悪用されないための有効な方法は、「アイコンがフォルダであっても、疑わしい場合には絶対にダブルクリックしない」という基本姿勢しかないと言える。
ただし、見抜く手助けになるかもしれない手段として、拡張子「.folder」に注意するという方法がある。拡張子「.folder」は、Windows XPのデフォルト設定では表示されないように設定されているため、見ることができないが設定を変更し、拡張子が「.folder」となっている場合には注意するというもの。
具体的には、フォルダの「ツール」タブの「フォルダ オプション」をクリックし、「表示」タブの詳細設定欄にある「登録されている拡張子は表示しない」のチェックを外すというものだ。このチェックを外すと拡張子「.folder」が表示されるため、疑わしいフォルダを見抜く手助けになるだろう。
|
|
フォルダオプションによる設定方法イメージ。この設定は、あくまでも拡張子を表示するだけなので、最終的には本人の警戒が必要
|
HTMLファイルの拡張子を「.folder」にしてみたところ。アイコンはフォルダになったため、一見で中身はわからない
|
関連情報
■URL
ニュースリリース(英文)
http://www.secunia.com/advisories/10708/
( 大津 心 )
2004/01/30 14:01
- ページの先頭へ-
|