なぜこれが問題となるのか (#497047) | ファイル名偽装の脆弱性、Opera 7からも見つかる

「ファイル名偽装の脆弱性、Opera 7からも見つかる」記事へのコメント

記事ページを表示すべてのコメント取得

検索25コメント Log In/Create an Account

なぜこれが問題となるのか (スコア:3, 興味深い)

by kondou (7687) on 2004年02月17日 6時29分 (#497047) ホームページ日記

IEのときもそうでしたが、なぜファイル名が偽装できるのが脆弱性となるのか？

「ファイルを開く」ことと、「アプリケーションを実行する」ことが両方とも同じ操作(ダブルクリック)になっているからですね。

ファイル名の拡張子がアプリケーションと関連づけられている→任意の拡張子のファイルを送り込むことによって、攻撃者の意図するアプリケーションを実行せしめることができる、というのもありますが。

「アプリケーションをダブルクリックで実行しない」というオプションを付加したらどうなるでしょうかねー。
- Re:なぜこれが問題となるのか (スコア:2, すばらしい洞察)
  
  by Anonymouse Coward (13650) on 2004年02月17日 12時54分 (#497221) ホームページ
  
  ファイル名の偽装というか、ファイル名にCLSID埋め込んで
  開いたときの動作を変えられるって仕様の方が脆弱ぽ。
  
  --
  
  # ACなのでAC
  
  シェア
  
  親コメント
- Re:なぜこれが問題となるのか (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2004年02月17日 8時46分 (#497072)
  
  ＞「アプリケーションをダブルクリックで実行しない」というオプションを付加したらどうなるでしょうかねー。
  
  サポセンの中の人が泣く。
  
  シェア
  
  親コメント
  - Re:なぜこれが問題となるのか (スコア:0)
    
    by Anonymous Coward
    
    右クリックでメニューから「実行」って仕様にしてもらえばいいんじゃないかなあ。
- Re:なぜこれが問題となるのか (スコア:0)
  
  by Anonymous Coward
  
  日本のOperaサイトに13日付けで情報が載ってる
  拡張子を偽装した悪意のあるファイルで起こる不具合について http://jp.opera.com/cgi-bin/supsearch2.cgi?options=index&name=j106 [opera.com]
  脆弱性とは言いたくなさそうな書き方してる
  - Re:なぜこれが問題となるのか (スコア:0)
    
    by Anonymous Coward
    
    そりゃ、せっかく今キャンペーン中ですから、出来るだけネガティブな印象は避けたいでしょう。
    
    トランスウエア、本日18時より「Opera」のライセンスキーを通常の半額で販売 [impress.co.jp]

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

ファイル名偽装の脆弱性、Opera 7からも見つかる More ログイン

「ファイル名偽装の脆弱性、Opera 7からも見つかる」記事へのコメント

なぜこれが問題となるのか (スコア:3, 興味深い)

Re:なぜこれが問題となるのか (スコア:2, すばらしい洞察)

Re:なぜこれが問題となるのか (スコア:1, すばらしい洞察)

Re:なぜこれが問題となるのか (スコア:0)

Re:なぜこれが問題となるのか (スコア:0)

Re:なぜこれが問題となるのか (スコア:0)

スラド