あけましておめでとうございます。
うち以外読んでる人いないと思いますが、とりあえず今年もよろしくお願いします。
さて、年末年始恒例といえるのか知りませんが、またWindowsの脆弱性騒ぎがあるみたいです。
XPなど複数のWindows OSに深刻な脆弱性、“0-day exploit”も登場(→Impress)
マイクロソフト セキュリティ アドバイザリ (912840) Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある(→Microsoft)
↑最終更新日12/31って・・・Microsoftの担当者の方お疲れ様です(笑
簡単にまとめると、ヤバいWMFを開いてしまうと、それだけで攻撃されてしまうという感じかな?
しかも、Windowsのビューアは拡張子でなく、実際に中身を見て判断するので、
例えば、.bmpや.jpgとなってるファイルでも中身が問題のWMFファイルなら、コードが実行されてしまうと。
で、ブラウザ毎の挙動はどうかというと、予想通りIEは有無を言わさずダメ。
Firefoxはダイアログが出てきて、保存だけなら問題なく、開くとWindows標準ビューアに切り替わりダメだそうです。
基本的にはOperaも同じで、ダウンロードのダイアログが出てきて、そのまま開くときのみNGみたいです。
気になる方は、一度 [変更…] ボタンからの挙動を決め打ちしておくのもいいかもしれませんね。
Microsoftが推奨している完全な対策は、リンク先にもあるように、標準ビューアのサービスを切ってしまう事で、
まぁ、確かに多少強引ながらもこれで絶対に開く事はなくなるので、安全っちゃ安全ですが、
画像をクリックして標準ビューアを使っていた人は、BMPやWMFに限らず全く使えなくなるので、人によっては物凄い不便になるでしょうねぇ。
まぁ、次の修正パッチが出るまでの我慢・・・なんでしょうかね?(笑
【追記】
この問題の検証をされている方が結構おられて、HTMLに埋め込まれているタイプのもあったので試してみましたが、
http://kikuz0u.x0.com/wmf_exp.html(→kikuz0u.x0.comさん)
Operaでは何も表示されず、特に問題はありませんでした。Opera万歳?(´ー`)
(このURL、IEではアプリケーションエラーと共にメモ帳が起動するそうです)
コメント