デンマークSecuniaは現地時間1月12日，Webブラウザ「Opera」に見つかったセキュリティ・ホールを公表した。セキュリティ・ホールを悪用すると，ダウンロード・ダイアログに偽の情報を表示できる。具体的には，実行形式ファイルをテキスト・ファイルなどの安全なファイルに見せかけて，「開く」ボタンを選択させることができる。Secuniaでは，Opera 5.x〜7.xが影響を受けるとしている。最新版の7.54u1も影響を受ける。

　今回のセキュリティ・ホールは，Operaが「data」スキームをきちんと処理できないことが原因。dataスキームはURL（URI）のスキームの一つ。RFC2397で規定されている（関連記事）。

　このため，dataスキームのリンクをクリックして実行形式ファイルをダウンロードした場合でも，ダイアログには実行形式ファイルとは表示されない場合がある。セキュリティ・ホールの発見者（Secuniaとは無関係）がメーリング・リストなどに投稿した情報では，テキスト・ファイルなどに見せかけることができるという。

　具体的には，ダイアログには「Notepad（メモ帳）で開きます」といったメッセージが表示されるという。これを信用して「開く（Open）」をクリックすると，ダウンロードした実行形式ファイルが実行されてしまう。

　このセキュリティ・ホールを修正したバージョンは未公開なので，“心がけ”で回避する。Secuniaでは，「信頼できないソースからのファイルは開かない」ことを対策として挙げている。

◎参考資料
◆Opera "data:" URI Handler Spoofing Vulnerability（Secunia）

（勝村　幸博＝IT Pro）