- PR -

【情報】XPで"*..folder"ファイルを作ると…

投稿者

投稿内容

がるがる: ぬし; 会議室デビュー日: 2002/04/12; 投稿数: 873

投稿日時: 2004-01-29 19:00

ども。がるです。
なんか「ごっつたのしい」ホールを見つけたので、一筆。

以下、比較的安全な「テスト」です。
ターゲットはWindows XPです。

1.テキストファイルを用意して、適当にHTMLを書きます。
私は以下のように書いてみました。

コード:
<HTML> <BODY> <H1>test</H1> </BODY> </HTML>

2.ファイル名を"test.folder"に変更します
　ここで、アイコンが「フォルダ」になってるのが確認できます

3.ファイル名をダブルクリック。自動的にブラウザが立ち上がるか、と

この問題で楽しいのは
「ダブルクリック時にどのように処理するかは動的に決定する」
らしいということです。すばらしい。

http://www.itmedia.co.jp/enterprise/0401/28/epn16.html
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2004/01.html#20040129_folder
あたりをご覧くださいませ。

とりあえず、エクスプローラ使うときに「拡張子を表示」は
必須に思えるのですがどんなもんなんでしょ？
さすがに「フォルダアイコン」だと、かなり無意識にダブルクリック
しそうで、結構怖いです :-(

ほむら: ぬし; 会議室デビュー日: 2003/02/28; 投稿数: 583; お住まい・勤務地: 東京都

投稿日時: 2004-01-30 10:17

ども、ほむらです。
あっセキュリティMemo載っていたんですね。
僕が見に行ったときはまだなかったのに。。。。

引用:
この問題で楽しいのは「ダブルクリック時にどのように処理するかは動的に決定する」らしいということです。すばらしい。

すばらしいですよね～
っていうかBinHEX4.0そのものは特に特別なものじゃないらしいので
これって要するにウィルスとかすき放題にプログラムを
HTMLに埋め込めるということのような気がする・・・

いやぁ、すばらしい。
しかも、これのすごいところはi.e経由でソース表示にしてもBinHEXの部分が見えないこと。
詐称し放題ウィルス仕込み放題ですよ。旦那。
いやぁ、すばらしい。

＃アクティブスクリプトきっておこう。。。。
＃Win98SEだから最近のウィルスは関係ないけど～(笑

lastwize: 会議室デビュー日: 2004/02/26; 投稿数: 9; お住まい・勤務地: 東京都

投稿日時: 2004-02-26 15:52

この手の問題動作については、リモートからの実行を許可しているかどうかがポイントになりますね。IISなどのページに掲載して実行権を与えた状態で、何か他のオブジェクトを作ったり、内部コマンドの呼び出し実行ができるかチェックしておくと、実効性のある発見になります。リモートから実行されるなんて想像もしたくないですが。
_________________
Hiroaki Kondo
Security Management Service Division
Hucom,Inc. Japan
hkondo@hucom.co.jp

＠IT SpecialPR

【情報】XPで"*..folder"ファイルを作ると…

スキルアップ／キャリアアップ（JOB@IT）