IEのドラッグ＆ドロップ処理に深刻な脆弱性、XP SP2でも防げず【IT_Media記事】
http://www.itmedia.co.jp/enterprise/articles/0408/19/news057.html

2004/08/19 20:24 更新

セキュリティ企業のSecuniaは8月19日、Internet Explorer（IE）のドラッグ＆ドロップに脆弱性があるとアドバイザリを出した。IE 5.01／5.5／6が影響を受けるが、まだ修正パッチはリリースされておらず、XP SP2を適用していても問題は避けられない、という。

　セキュリティ企業のSecuniaは8月19日、Internet Explorer（IE）のドラッグ＆ドロップ処理に脆弱性があるとアドバイザリを出した。危険度は、5段階評価で2番目に高い「Highly critical」。

　問題の原因は、IEでインターネットゾーンのファイルをローカルリソースにドラック＆ドロップする際に、ファイルに対する十分な検証が行われないことによる。この脆弱性を悪用するWebサイトからファイルをドラッグ＆ドロップしてくると、ユーザーのスタートアップフォルダに任意の実行ファイルが作成されてしまい、次回Windowsを起動した際に自動的に実行されてしまう。

　詳細は明らかにされていないが、IE上で実行ファイルを画像ファイルのように装わせ、かつスタートアップフォルダへのコピーを利用するという手口だ。

　影響を受けるのは、IE 5.01／5.5およびIE 6。完全にパッチを当てた状態でもこの脆弱性は確認されており、先日リリースされたService Pack 2を適用していても問題は避けられないという。回避するには、アクティブスクリプト機能を無効にするか、Opera、Mozillaなど別のブラウザを使用するしかない。

　この脆弱性を発見したhttp-equiv氏が公表した実証コードの場合は、ユーザーが自らドラッグ＆ドロップの操作を行う必要がある。だがSecuniaでは、これを下敷きに改悪が加えられれば、ユーザーが1度クリックするだけで勝手に実行されてしまうコードができあがる可能性がある、としている。
関連記事
Windows XP SP2に2種類の脆弱性

セキュリティチャンネル

エンタープライズTOP

関連リンク
Microsoft Internet Explorer Drag and Drop Vulnerability（Secunia）

[ITmedia]

　次へ 　前へ

ＩＴ6掲示板へ

フォローアップ:

　

　

　

拍手はせず、拍手一覧を見る

---

★登録無しでコメント可能。今すぐ反映　通常 ｜動画・ツイッター等 ｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証
（ 上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):

投稿コメント全ログ 　コメント即時配信 　スレ建て依頼 　削除コメント確認方法

---

★阿修羅♪　http://www.asyura2.com/ 　since 1995
　題名には必ず「阿修羅さんへ」と記述してください。
掲示板,ＭＬを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。