あんどコンサ

ファイル拡張子には気をつけて、というお話。

「『.jpg』のファイルに注意するだけで は“JPEGウイルス”対策として不十分」――F-Secure（日経 IT Pro）
Critical vulnerability in MS Windows may escalate the virus threat（F-Secure）

ＩＥとかは　「悪質なJPEGファイルの拡張子を「.bmp」や「.ico」などに変更しても，きちんと“機能”するからだ。.jpg以外の拡張子を持つファイルでも，パッチ適用前のGDI+を使うアプリケーションに読み込まれれば，JPEGファイルとして処理され，バッファ・オーバーフローが発生する。同社では，jpgだけではなく，画像ファイルの拡張子全般 ――bmp, dib, emf, gif, ico, jfif, jpe, jpeg, pcx, png, rle, tga, tif, tiff, wmfなど――に注意するよう呼びかけている」　……だそうだ。　面倒くさいので、さっさとパッチをあてましょう。

http のヘッダとファイル拡張子のどちらを優先するのが正しいのか？　……なんて議論が昔あったね。

アプリケーションがファイルの中身をみて自動的に全て考えてくれるってのは、確かに便利ではあるのだが、やっぱりこれはセキュリティホールに直結するよなぁ。