FC2ブログ
Old Dancer's BLOG
ここはてりぃが、趣味の共通する方々との得がたいつながりのために、自分の趣味に関係する諸々のことを、壊れながら書きつづるブログです。
   来訪者数: since 2004/12/2...    
CSVインジェクション??
 正確には、CSV Excelマクロインジェクション、というみたいですが。セキュリティ関連の情報として、今話題になりつつあるようです。ソースはこちら。

 CSV Excel Macro Injection(原文は英語らしく、ちょっと読みにくいです)

 「CSVファイルは安全」という先入観につけ込む標的型攻撃

 えーっと。かいつまんで言うと、「CSVファイルをExcelで開くと攻撃を受ける可能性があるよ!」ということでして…。え、何それあたし聞いてない。

 CSVファイルって、ただのテキストなんですよ。そんなもん、攻撃ツールになんてなりようがないじゃないか、というのが、もうほとんど不変と言っていいくらいのセキュリティの常識だったんですが…その常識が、がっつり破られた、と。

 特定の書式のCSVファイルをExcelで開くと、セル内に展開された内容が解釈されて、自動的にリンクを更新させるなどの、マクロのような動作をさせることができる、という話のようです。SQLインジェクションのようなことが、Excelのセル内でも起こる、と。

 うん、率直に言って、ヤバっちぃです、これ。ガクブルものです。MSは「これは脆弱性では無いなぁ」という姿勢のようですので、少なくとも当面の間は、そういうヤバっちぃCSVファイルを開かない、という自衛手段しか無い模様…。まあ、開こうとする時にセキュリティ警告のダイアログが出るみたいですので、そこで「有効にする」をクリックしさえしなければ、被害に遭わないようですが…。

 気を付けましょう。それしか言えねぇわ。差し当たりは、メールの添付ファイルと、Web等で入手できるファイルについて、CSVだからと気を抜かないこと、ですかね…。
楽しんで頂けましたらWEB拍手をお願いします。
■関連記事~
 全然計画通りじゃなかったわけだが。 (2012/01/13)
 ぐるっと一周した感じ。 (2015/12/21)
 新年早々の連休の盲点。 (2011/01/10)
 第一弾締め切りに到達。 (2016/02/16)
 というわけで、45歳になりましたのだ。 (2012/10/25)
 1997 ~ 空白の時期 (2008/04/09)
 また更新漏れやらかしたり、GW前の仕事を終えてきたり (2016/04/27)
コメント
この記事へのコメント
コメントを投稿する
※コメントについてのポリシーはこちらです。初めての方はご一読下さい。
URL:
Comment:
Pass:
秘密: 管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
※トラックバックについてのポリシーはこちらです。初めての方はご一読下さい。
http://terry.blog1.fc2.com/tb.php/6840-369a60a0
この記事にトラックバックする(FC2ブログユーザー)
この記事へのトラックバック