ウィルスを作る人って何が目的なんだろうね。
よくいわれるのが、自分の技術力を見せつけ、それをビジネスとして利用するというものがありますが、やっぱりその多くは、自分が発見したアイディア、脆弱性を他人に知らせたい、自慢したいという原初的な欲求があるのかもしれませんね。今回のウィルスもそういうものが垣間見られるような気がします。IEの欠点を利用してこんなことができるんだぞ、みたいな。
とにかく、今回は、Internet Explorerユーザーの方(IEコンポーネントブラウザであるSleipnirユーザーもね)は要チェックです。うっかり、該当リンクを踏むとHDDが初期化されてしまいますよ。
(続きはこちら)
今回は(こう言ってはいけないんだろうけど)、発想が非常に斬新的です。
IE様は、拡張子(例えば、jpgとかpngとか)がついていようが、その内容をすべて読み込み、その上でそのファイルが何かを判断するというとっても親切な機能があります。サーバー側(そのファイルを作った本人)が「これはこうだよ」といっているにもかかわらずにです。普通のブラウザでは考えられない(思いもつかない)とっても高度な機能ですね。これは他のブラウザにはとてもまねできませんし、これはIE特有の機能だと言ってもいいでしょう。こういう機能の積み重ねが、いまのブラウザシェア独占の所以なのでしょうね。
さすが、高性能Tridentエンジンです。
(早く滅びればいいのに…)
□その他のIE様の偉業について
・Browser.js [Security] IEを使ってないのに、「ActiveX」とかいっちゃう人って一体何なの?
・Browser.js Sleipnir:Tips 6 選択範囲のイライラ、その他いろいろなTips
さて、今回のブラクラですが、簡単に言えば、「リンク先は画像だよ」と装ってアドレスが貼られ、それを見た人が画像だと思ってそれを踏むと、なんと拡張子は「.jpg」ですが、中身はグロ画像+実行スクリプトへのリンク(jpg偽装)で、これを(Tridentエンジンの)IE様はHTMLファイルとして読み込んでしまうので、そのスクリプトが実行されてしまい、そのスクリプトに従って、最悪、使っているPCのHDDが初期化されてしまうというものです。
この被害の多くは、2ちゃんねるで報告されていますが、別に2ちゃんねるでしか使えないというわけでもないので、2ちゃんねるを見ない人でも注意が必要です。しかも、これはそのファイルを(斧などのアップローダーに)あげるだけでいいので、どのアドレスが怪しいかと断定することはできません。要は、画像リンクはすべて危険だというわけですね。
また、言うまでもないことですが、これはTridentエンジン自体が問題なので、2ちゃんねるブラウザ(いわゆる、専ブラ)でも、Tridentエンジンを使っているSleipnirでも、同様のことがいえます。
※専ブラでも、Doe系などTridentエンジンを使用していないものはこの限りではない
(ただ、情報が錯綜しており、他のブラウザを使用している方も完全に安全だとはいえません。ここでの記述は、現段階での、私の理解という点を改めて確認してください。
とにかく、最善の方法は、当面の間は、IE側が対処するか、ウィルスソフトが対処するまで、極力、画像リンクを開かないようにするということです。この情報を鵜呑みにして損害を被っても責任はとれないのでその点ご了承下さいね。)
※今後の動向にも注意してください
□HDDをフォーマットするブラクラ まとめwiki - トップページ
□【ニコニコ動画】HDDをフォーマットするサイト登場(高画質)
まあ、この問題は、偉大なSybianさんもむかし言っていたことなんだけどね。
恐るべし、Operaユーザー(ああ、私もか(笑))。
□アドオン要らずのIE轟沈機能トップ3 - Sybianの日記
2. 言うこと無視して自分しか信じずに獄死
Content-Typeという、「これは画像でJPEGですよ」「このファイルはHTMLで文字コードはUTF-8ですよ」といった情報をサーバは吐いています。普通のブラウザは言われたとおりに解釈し、JPEGならJPEG用の処理を、HTMLならHTML用の処理を行います。サーバが教えてくれるおかげで、ブラウザは毎回悩まずに済み、CSSの処理をFLASHプラグインに任せるような誤解は起こりません。
ところがIE様はご自身の判断力を過信しておられ、サーバがCSSだと言うのも聞かず拡張子も無視し「これはHTMLっぽい!HTMLだ!」と勝手に決めつけ、「こいつぁなんて変なHTMLなんだ!」と独りで踊っておられます。いや馬鹿が踊ってるだけならいいのですが、悪い人がこの馬鹿を上手く操れば、「IEでだけ辛うじて動作するクラッキング」を実行可能です。
サービスを提供する側は、変なHTML(というかJavaScript)を書かれないよう注意して開発しますが、CSSやプレーンテキストに関しては無防備なことが多いのです。CSSでは{や(や<などの記号を使いますが、これはJavaScriptでも使われる記号です。HTMLではそのへん、<を<に変換するなどの対策がありますが、CSSだとそうはいきません。サーバが「これはCSSですよ」と教えてくれる限り、普通のブラウザにとってはどうでもいいことなのですが、不幸なことにIE様はご自身の判断力を過信しておられます。
そんな楽園へ変なeが闖入すれば、瞬く間にウィルスをインストールされパスワードを盗まれPCが紫色の煙を吹き始めます。
さてさて、IEが大嫌いな私は、こういう問題が起こるといつもこう思うのです。
「IEはさっさと育つか死ね」
そんなわけで、今年最後のニュースは、セキュリティー関連のニュースでした。
何とも後味の悪いニュースですが、来年はもっといい話ができるといいですね。
これが今年最後の最悪なニュースで、その分、来年からはいいスタートが切れるのだとポジティブシンキングでいきたいものですね。
各種ソーシャルブックマーク:
|
|
;