IEの「名前を付けて画像を保存」にファイル名偽装の欠陥

2004-11-27 04:18
このエントリーをはてなブックマークに追加

INTERNET Watch の記事経由 Secunia の勧告から。Internet Explorer (IE) の「名前を付けて画像を保存」機能にファイル名が偽装できる欠陥があるとのこと。Windows のフォルダオプションで「登録されているファイルの拡張子は表示しない」が有効になっている場合(デフォルトで有効)、多重拡張子のついたファイル名の最後の拡張子が表示されません。そのために騙されて、悪意のあるサイトでスクリプトを埋め込んだ HTML アプリケーションファイル (.hta) を画像ファイルに見せかけてダウンロード、実行させられてしまう可能性があります。

「登録されているファイルの拡張子は表示しない」のは百害あって一利無しです。必ず無効にしましょう。

  • ブックマーク : アクセス: 6,475回
  • カテゴリー : セキュリティ
  • キーワード :

コメントはまだありません

No comments yet.

Sorry, the comment form is closed at this time.

32 queries. HTML convert time: 0.073 sec. Powered by WordPress. Valid XHTML
Copyright © 2003-2017 @ futuremix.org ログイン