水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 続・Windowsアニメーションカーソルの脆弱性

続・Windowsアニメーションカーソルの脆弱性

2007年4月2日(月曜日)

続・Windowsアニメーションカーソルの脆弱性

Windowsアニメーションカーソルの脆弱性話ですが、えむけいさんによると (情報ありがとうございます)、アニメーションカーソルを favicon としても使うことができてしまうとのこと。Windows XP SP2 + IE7 で試してみましたが、アニメーションこそしないものの、普通にタブやアドレスバーに表示されますね……。

なお、「拡張子ではなく、内容によってファイルを開く」が無効であっても、image/jpeg などの画像っぽい Content-Type になっていれば表示されてしまうようです。

※ちみに「拡張子ではなく、内容によってファイルを開く」が有効の場合、text/plain でさえも表示されます (無効の場合は、さすがに text/plain だと無視される模様)。

回避方法はなさそうなので、ひたすらパッチ待ちですね。マイクロソフト セキュリティ情報の事前通知 (最終更新日: 2007年4月2日) (www.microsoft.com) を見ると、4月4日にリリースされる予定のようです。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト