「Everything」の脆弱性 - kusano-k’s blog昨年IPAに報告した「Everything」の脆弱性について、IPAに情報非開示依頼の取り下げを申請して認められたので、脆弱性関連情報を公開します。 EverythingのHTTPサーバーを有効にしていて、外部からアクセスできて、IEを使用していると、PC内の任意のファイルやファイルのリストを奪取される危険性があります。HTTPサーバーにパスワードが設定されていても攻撃は可能です。リモートから自宅のPCにアクセスする目的でEverythingを使用していると危険かもしれません。 解説 EverythingのHTTPサーバーを有効にするとPC内のファイルが、http://localhost/C%3A/Windows/〜 のようなURLで開けるようになる。HTTPサーバーに直接アクセス可能な場合は、スペースや改行を除いた任意の文字列をHTTPサーバーのログに書き込める。IEがHTMLだと認識す
