Opera_7シリーズにファイル名を偽装できる脆弱性【internet.watchの記事】
http://internet.watch.impress.co.jp/cda/news/2004/02/16/2100.html

　セキュリティベンダーであるデンマークのSecunia社は、Webブラウザ「Opera」に、ファイルをダウンロードする際に拡張子を偽装できる脆弱性を発見したと発表した。危険度は“中”。対象となるバージョンは、Opera 7シリーズ。

　この脆弱性は、Operaにおいてファイルをダウンロードする際に表示されるダウンロードダイアログにおいて「開く」ボタンをクリックすると発生する。この脆弱性を攻撃者に悪用されると、ユーザーに安全なPDFやTXTファイルだと思わせて、悪意のコードを含んだプログラムを実行させることができるという。

　原因は、ファイル名にCLSID（Class ID）を埋め込むことにより、本来開くべきアプリーケーションではなく、GUID（Globally Unique Identifier）に関連付けられたほかのアプリケーションでファイルを開いてしまうというもの。Secuniaが用意したデモサイトではPDFファイルだと思わせて、ファイルを開かせるデモが公開されている。

　この脆弱性を回避するためには、ダウンロードダイアログで「開く」を選択せずに、「保存」を選び、一旦PCに保存してから実行すれば本来のアプリケーションで実行されるため、問題が起きにくい。このため、対策としてダウンロードダイアログでは「開く」を選択せずに、一度「保存」してから実行することが推奨される。

関連情報

■URL
　 ニュースリリース（英文）
　 http://secunia.com/advisories/10760/
　 デモサイト（英文）
　 http://secunia.com/Internet_Explorer_File_Download_Extension_Spoofing_Test/

■関連記事
・ IEのダウンロードダイアログにファイル名を偽装できる脆弱性（2004/02/02）

（ 大津 心 ）
2004/02/16 12:21

　次へ 　前へ

ＩＴ４掲示板へ

フォローアップ:

　

　

　

　

拍手はせず、拍手一覧を見る

---

★登録無しでコメント可能。今すぐ反映　通常 ｜動画・ツイッター等 ｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証
（ 上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):

投稿コメント全ログ 　コメント即時配信 　スレ建て依頼 　削除コメント確認方法

---

★阿修羅♪　http://www.asyura2.com/ 　since 1995
　題名には必ず「阿修羅さんへ」と記述してください。
掲示板,ＭＬを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。