Internet Watch logo
記事検索
最新ニュース

IEに「警告回避」と「拡張子偽装」の脆弱性〜Secuniaが指摘


 デンマークのセキュリティベンダーであるSecuniaは17日、Internet Explorer(IE)の脆弱性2件を公表した。いずれも危険度は5段階中3番目の“Moderately critical”。セキュリティ修正プログラムをすべて適用したWindows XP SP2上で動作するIE6で確認したという。

 Windows XP SP2上のIEを利用して特定のファイルをダウンロードしようとすると、警告メッセージが表示される。1件目の脆弱性を悪用すると、こうした警告メッセージが表示されないように、ダウンロードされるファイルのHTTPヘッダの「Contain Location」に細工できるという。

 2件目の脆弱性を悪用すると、不正なファイルが拡張子を偽装できる。IEの初期設定では、「既知のファイルタイプの拡張子を隠す」という設定だが、JavaScript機能の「execCommand()」を使って偽装が可能だとしている。

 Secuniaでは、2つの脆弱性を組み合わせることによって、悪意のあるWebサイトがユーザーを騙して、HTMLファイルに偽装した危険なファイルを実行させてしまう可能性があると解説。回避策としては、アクティブスクリプトと「既知のファイルタイプの拡張子を隠す」設定を無効にすることを挙げている。なお、マイクロソフトでは、この件について「調査を進めているところだ」としている。

 このほかSecuniaでは、IEのCookieが上書きされてしまう脆弱性を公表。ただし、こちらの危険度は5段階中もっとも低い“Not critical”。Windows XP SP2を適用するか、必要な場合を除いてCookieを無効にすることで回避できる。


関連情報

URL
  Microsoft Internet Explorer Two Vulnerabilities(英文)
  http://secunia.com/advisories/13203/
  Microsoft Internet Explorer Cookie Path Attribute Vulnerability(英文)
  http://secunia.com/advisories/13208/


( 鷹木 創 )
2004/11/18 12:51

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.