続・Windowsアニメーションカーソルの脆弱性
2007年4月2日(月曜日)
続・Windowsアニメーションカーソルの脆弱性
Windowsアニメーションカーソルの脆弱性話ですが、えむけいさんによると (情報ありがとうございます)、アニメーションカーソルを favicon としても使うことができてしまうとのこと。Windows XP SP2 + IE7 で試してみましたが、アニメーションこそしないものの、普通にタブやアドレスバーに表示されますね……。
なお、「拡張子ではなく、内容によってファイルを開く」が無効であっても、image/jpeg などの画像っぽい Content-Type になっていれば表示されてしまうようです。
※ちみに「拡張子ではなく、内容によってファイルを開く」が有効の場合、text/plain でさえも表示されます (無効の場合は、さすがに text/plain だと無視される模様)。
回避方法はなさそうなので、ひたすらパッチ待ちですね。マイクロソフト セキュリティ情報の事前通知 (最終更新日: 2007年4月2日) (www.microsoft.com) を見ると、4月4日にリリースされる予定のようです。
- 「続・Windowsアニメーションカーソルの脆弱性」にコメントを書く
関連する話題: セキュリティ
- 前(古い): Windows Server 2003 SP2
- 次(新しい): あるある大事典検証番組
