Mozilla Foundation セキュリティアドバイザリ 2005-25
- タイトル
- 画像のドラッグ&ドロップによる実行可能ファイルの偽装
- 重要度
- 最高
- 危険度
- 中
- 報告者
- Michael Krax
- 影響を受ける製品
- Firefox
- Thunderbird
- Mozilla Suite
- 修正済みのバージョン
- Firefox 1.0.1
- Thunderbird 1.0.2
- Mozilla Suite 1.7.6
概要
Web ページからデスクトップにドラッグ&ドロップされた画像は、元の名前と拡張子で保存されます。これが実行可能な形式の拡張子だった場合、そのファイルはメディアアプリケーションで開かれず、プログラムとして実行されます。
この問題を悪用するには、有効な実行可能形式であると同時に有効な画像を攻撃者が作り出す必要があります。Windows では、バッチファイルを連結した GIF 画像を使えば可能です。攻撃者はユーザに対して、その画像をデスクトップにドラッグ&ドロップさせた上で、期待されるメディアタイプではなく実行可能形式のアイコンになっていることに気付かせることなく、後からダブルクリックするよう仕向けなくてはなりません。
回避策
- 信用できないサイトからファイルをダウンロードする際は注意してください。
- Windows では、ファイルの拡張子を表示させてください。