アカウント名:
パスワード:
問題なのは rar 形式ではなく ace 形式で、同様の問題について Explzh でも対応をしていますace 形式の展開はバイナリしかなく、直しようがないので対応をやめるという対処をしていますで問題なのは日本でメジャーな Lhaplus がまだ対応していないんじゃないかという疑惑(疑惑というか、ace 形式対応してるなら間違いなく問題孕んでるはず)
一般ユーザ向けには、この先 ace 形式は問答無用で削除、ぐらいの対応でも良いかもしれません
2001年か2002年くらいに少し見た程度ですね…。同じくマイナーアーカイブのGCAの方がまだ見た気がします。
アイコンが好きで愛用してたわ
一般に流通していないからこそ、もう一律排除でも良いんじゃないかと思いました今流通している ace ファイルのほとんどはこの脆弱性狙いなんだろうな、と
関連付けされていると「(デフォルトだと)拡張子はでない」「圧縮されているアイコンになる」「ダブルクリックで動き出す」と一般ユーザだと普通に踏み抜くであろう状況ですし
リンク先に書いてありますが、拡張子出してても拡張子を「.rar」とかに変えとけばWinRARはバイナリ見てace形式と看破して解凍しちゃいます
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
Lhaplus が危ないかも (スコア:1)
問題なのは rar 形式ではなく ace 形式で、同様の問題について Explzh でも対応をしています
ace 形式の展開はバイナリしかなく、直しようがないので対応をやめるという対処をしています
で問題なのは日本でメジャーな Lhaplus がまだ対応していないんじゃないかという疑惑
(疑惑というか、ace 形式対応してるなら間違いなく問題孕んでるはず)
一般ユーザ向けには、この先 ace 形式は問答無用で削除、ぐらいの対応でも良いかもしれません
Re:Lhaplus が危ないかも (スコア:0)
少なくともそう言う拡張子に遭遇した事がここ20年は無いから。
Re:Lhaplus が危ないかも (スコア:2)
2001年か2002年くらいに少し見た程度ですね…。
同じくマイナーアーカイブのGCAの方がまだ見た気がします。
Re: (スコア:0)
アイコンが好きで愛用してたわ
Re: (スコア:0)
一般に流通していないからこそ、もう一律排除でも良いんじゃないかと思いました
今流通している ace ファイルのほとんどはこの脆弱性狙いなんだろうな、と
関連付けされていると
「(デフォルトだと)拡張子はでない」
「圧縮されているアイコンになる」
「ダブルクリックで動き出す」
と一般ユーザだと普通に踏み抜くであろう状況ですし
Re: (スコア:0)
リンク先に書いてありますが、拡張子出してても拡張子を「.rar」とかに変えとけばWinRARはバイナリ見てace形式と看破して解凍しちゃいます