パスワードを忘れた? アカウント作成
767585 submission
ニュース

ファイル名偽装の脆弱性、Opera 7からも見つかる

タレコミ by greentea
greentea 曰く、
INTERNET Watch記事によると、Secunia社は、Opera 7.xにIEで見つかったファイル名偽装と同じような脆弱性を発見した。危険度は“中”。この脆弱性は、Operaにおいてファイルをダウンロードする際に表示されるダウンロードダイアログにおいて「開く」ボタンをクリックすると発生する。この脆弱性を攻撃者に悪用されると、ユーザーに安全なPDFやTXTファイルだと思わせて、悪意のコードを含んだプログラムを実行させることができるという。原因は、ファイル名にCLSID(Class ID)を埋め込むことにより、本来開くべきアプリケーションではなく、GUID(Globally Unique Identifier)に関連付けられたほかのアプリケーションでファイルを開いてしまうというもの。Secuniaが用意したデモサイトではPDFファイルだと思わせて、ファイルを開かせるデモが公開されている。この脆弱性を回避するためには、ダウンロードダイアログで「開く」を選択せずに、「保存」を選び、一旦PCに保存してから実行すれば本来のアプリケーションで実行されるため、問題が起きにくい。
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...