Windows、Safari、IEの組み合わせにはご注意を [雑感]
SafariとWindowsの「仕様」の組み合わせで脆弱性が生じる。
Safariはファイルのダウンロードをユーザの確認なく実行します。標準ではデスクトップにダウンロードするそうです。この仕様を悪用した「じゅうたん爆撃」という問題があります。
これだけならばせいぜいファイルが大量にダウンロードされてしまう、で終わるのですがこれにIEが組み合わさると問題が発生します。
IEはデスクトップ上のDLLを取り込む仕様になているそうです。ここで3つの「仕様」の組み合わせで脆弱性が発生するのです。
つまり「じゅうたん爆撃」でDLLをダウンロードさせ、次にIEを起動すると悪意あるプログラムが動いてしまうというもの。
IEはWindowsで標準インストールされていますから、いつこうした問題が発生するかわかりません。
Safariのほうはこれをセキュリティの問題とは捉えていないようなので、修正するのかどうかも不明です。
IEのほうも古くからある仕様で特に変更するつもりはなさそう。
ということで現状ではSafariの標準ダウンロード先をデスクトップ以外に変更しておくしかなさそうです。
考えるほうもよく考えるな~と少し感心してしまいましたが、責任の所在の明らかにならない問題になっており誰も積極的に修正しようとしていないという事態は困ったものだな、とも思います。まずは自分の身は自分でガードしましょう。
Safariはファイルのダウンロードをユーザの確認なく実行します。標準ではデスクトップにダウンロードするそうです。この仕様を悪用した「じゅうたん爆撃」という問題があります。
これだけならばせいぜいファイルが大量にダウンロードされてしまう、で終わるのですがこれにIEが組み合わさると問題が発生します。
IEはデスクトップ上のDLLを取り込む仕様になているそうです。ここで3つの「仕様」の組み合わせで脆弱性が発生するのです。
つまり「じゅうたん爆撃」でDLLをダウンロードさせ、次にIEを起動すると悪意あるプログラムが動いてしまうというもの。
IEはWindowsで標準インストールされていますから、いつこうした問題が発生するかわかりません。
Safariのほうはこれをセキュリティの問題とは捉えていないようなので、修正するのかどうかも不明です。
IEのほうも古くからある仕様で特に変更するつもりはなさそう。
ということで現状ではSafariの標準ダウンロード先をデスクトップ以外に変更しておくしかなさそうです。
考えるほうもよく考えるな~と少し感心してしまいましたが、責任の所在の明らかにならない問題になっており誰も積極的に修正しようとしていないという事態は困ったものだな、とも思います。まずは自分の身は自分でガードしましょう。
>>IEはデスクトップ上のDLLを取り込む仕様になているそうです。ここで3つの「仕様」の組み合わせで脆弱性が発生するのです。
どういう目的で、このような仕様になっているのでしょうか?
by 棚か (2009-06-28 01:39)