JVN#62336482: FFFTP における実行ファイル読み込みに関する脆弱性
- FFFTP における実行ファイル読み込みに関する脆弱性 (JVN#62336482)
JVNの脆弱性情報の公開なので、既に修正済みの 1.98b が公開されてるんだけど…。d:id:imatake:20111018:1318952570 の内容とがよくわからなくなってきた… orz
追記
「FFFTP」には、ローカルPC上にあるファイルを「メモ帳(notepad.exe)」で開く機能が搭載されているが、“notepad.exe”を実行する際の検索パスに問題があり、本機能を利用する際にWindows標準の「メモ帳」ではない実行ファイルを実行してしまう恐れがあるという。
IPA、「FFFTP」に意図しない実行ファイルを読み込む脆弱性が存在することを公表 %#x28;窓の杜)
“ダウンロードされた任意のコードがメニューを通して実行されてしまう脆弱性”と言うことは、「notepad.exe」というファイル名の実行ファイルをダウンロードした時にそれが実行出来てしまうと言うことでいいのか。
