デンマークSecuniaは現地時間11月26日,Internet Explorer(IE)に見つかったセキュリティ・ホールを公表した。セキュリティ・ホールを悪用すれば,危険なファイルを画像ファイルに見せかけて,ユーザーにダウンロードさせることが可能となる。実際,そのようなファイルが公開されているという。Windows XP SP2も影響を受ける。パッチは未公開。対策は「登録されているファ イルの拡張子は表示しない」を無効にすること。
今回のセキュリティ・ホールは,Webページ中の画像ファイルを保存する際に,IEがそのファイルの拡張子を勝手に取り除く場合があることが原因。具体的には,表示させているWebページ中の画像を,マウスの右クリックで表示される「名前を付けて画像を保存」で保存する場合に発生する。マウスで指定した画像ファイルの名前に複数の拡張子が付けられている場合,IEは,最後の拡張子を取り除いて保存する。
例えば,画像ファイル名が「malicious.hta.jpg」だった場合,「malicious.hta」として保存する。ここで,malicious.hta.jpgが悪質なスクリプト・コードを含む画像ファイルだった場合,malicious.htaとして保存されたファイルをユーザーが実行すれば(開けば),そのファイルはHTMLアプリケーション(.hta)としてWindowsに解釈され,含まれるコードが実行されることになる。つまり,悪質なサイト管理者は,悪質なスクリプト・コードを含む画像ファイルを,任意の拡張子で保存させることができる。
対策は,「ツール」メニュー内の「フォルダ オプション」の設定で「登録されているファイルの拡張子は表示しない」を無効にすること。デフォルトでは有効になっている。
今回のセキュリティ・ホール対策としてだけではなく,「登録されているファイルの拡張子は表示しない」は無効にしておきたい(チェックを外しておきたい)。この“機能”を悪用する手法は,以前から多数報告されている(関連記事)。
◎参考資料
◆Microsoft Internet Explorer "Save Picture As" Image Download Spoofing(デンマークSecunia)
◆画像を右クリックして [名前を付けて画像を保存] を選択すると,画像が正しい拡張子で保存されない(マイクロソフト)
(勝村 幸博=IT Pro)
