Internet Watch logo
記事検索
最新ニュース

IEの「名前を付けて画像を保存」にファイル名スプーフィングの脆弱性


 デンマークのセキュリティベンダーであるSecuniaは26日、Internet Explorer 6(IE6)に、ダウンロード画像のファイル名を偽装できる脆弱性があることを公表した。Secuniaでは危険度を、5段階中3番目の“Moderately critical”と評価している。

 この脆弱性は、複数の拡張子が連なったファイル名を持つWebページ中の画像を、IEの「Save Picture As(名前を付けて画像を保存)」コマンドを使ってダウンロードする際に、最後の拡張子が表示されないというもの。これにより、悪意のあるスクリプトを埋め込んだ画像ファイルを、HTMLアプリケーション(.hta)などの任意の拡張子に見せかけてユーザーにダウンロードさせ、実行させられるとしている。

 この現象は、パッチをフル適用したIE6とWindows XP SP2で確認されているという。ただし、フォルダオプションの表示設定で「Hide extension for known file types(登録されているファイルの拡張子は表示しない)」が有効になっていなければ発生しないため、対応策としては、この設定を無効にすることが示されている。


関連情報

URL
  Secuniaのセキュリティアドバイザリ(英文)
  http://secunia.com/advisories/13317/


( 永沢 茂 )
2004/11/26 23:09

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.