昨日のAcrobat Readerの欠陥に限らず、セキュリティホールが発覚する毎に「メールの添付ファイルを閲覧する事は危険だ」と繰り返し書いている。
例えば今回の件だと「pdfファイルが危ないだけでHTMLファイルなら問題無い」と考えている人が多いと思うが、添付された小さなHTMLファイルを開いたにも関わらずpdfファイルが表示される場合がある。
以下の内容を「メモ帳」などにペーストし、"openpdf.htm"てな名前で保存してから開いて欲しい。
<HTML> <HEAD>日刊スポーツの「ホークス日本一記念号外」 が表示されるはずだ。
<meta http-equiv="Refresh" content="0;URL=http://210.230.1.242/nikkan_pdf/031027_series.pdf">
</HEAD> </HTML>
日刊スポーツのホークス日本一記念号外 |
pdfに限らず、wavやmpeg,rmなどwebで一般的に使用されるファイルはこうしてHTMLで簡単に偽装する事ができるので、メール添付のHTMLファイルは開くべきではない。
これはタグが使える掲示板やコメント可能なブログサイトなどでも同じ事が言え、悪質な書込み者がこういったHTMLコードを悪用して罠を仕掛けたサイトへ誘導する危険性をはらんでいる。
いずれにしろIeのゾーン設定で「信頼済みサイト」以外に制限をかけていれば、悪質なサイトへ誘導されてもファイルのダウンロードやスクリプトは実行できないので、危険は未然に防止する事ができる。