「Windowsアニメーションカーソルの脆弱性」@水無月ばけらのえび日記

CSS の cursor プロパティで cursor: url(……); という具合に任意の画像を指定できるわけでして。

Windowsアニメーションカーソルの脆弱性 | 水無月ばけらのえび日記

うひ。付け加えて言うならここで指定するカーソルファイルはファイル名がべつに *.ani とか *.cur でなくても全然OKなわけで。cursor: url(http://example.com/virus.txt); みたいな指定だと、もちろんサーバ側は Content-Type: text/plain; を返します。「拡張子ではなく、内容によって…」とも無関係に、カーソルはカーソルと見なすようです。なので「メールサーバーや、プロキシで拡張子 .ani を制限するのがよいのかなぁ。」は、メールサーバはともかくプロキシでは防ぎきれなかったりします…。何かよいブロック方法ないかなぁ。
とりあえず、Firefox ではアニメーションではないカーソル(*.cur)は利用できるが、アニメーションカーソル(*.ani)は利用できないということで安心していてよいのかな。それとも *.ani は RIFF フォーマットなので、別のRIFFフォーマットなファイルに偽装しておいて何かのトリガでそこに含まれる*.aniな部分を発動させられたりするのかなぁ。