Google Chrome v69 for MacではダウンロードファイルをFinderで開く[CMD+クリック]機能が無効化され、ファイルを直接実行する仕様になっているそうです。詳細は以下から。
IntegoSecurityのセキュリティ研究者Noarさんによると、Googleが現地時間2018年09月04日にリリースした「Chrome v69」ではv68までダウンロードしたファイルが入ったFinderが開く仕様になっていたCommand + クリックが利用できなくなり、ファイルが直接実行されるように変更されているそうです。
In case you use Google Chrome to download malware, and command clic the downloaded item in the download bar to reveal the file in Finder, be aware that Chrome version 69 no longer handle the command clic and will try to launch the file.
— noar (@noarfromspace) 2018年9月6日
Steps to reproduce the problem:
- download a file
- press Command modifier key (macOS) + click the file
- Chrome launch the file instead of revealing the file in Finder
What is the expected behavior?
When pressing the command modifier key and clicking a downloaded file, the file used to be revealed in Finder until Chrome v69.881449 – Keyboard modifier + click on a downloaded item no longer reveal the item – chromium – Monorail – Chromium Bugs
ChromeとSafari
実際にディスクイメージファイル(.dmg)をダウンロードして試してみましたが、Chrome v68までFinderを開く操作だったCommand + クリックをv69で行うと、以下のようにdmgファイルがChromeによって直接実行されるようになっていました。
AppleのSafari(Mac)にはダウンロード・ファイルを自動で開く「✅ ダウンロード後、”安全な”ファイルを開く」機能がありますが、この機能はオプションで無効にすることが可能で、
A user used to “command clic” files may not expect the file to be launched. For example, the user may find himself in the situation of running a malicious file instead of revealing it for further processing.
881449 – Keyboard modifier + click on a downloaded item no longer reveal the item – chromium – Monorail – Chromium Bugs
Chromeの場合は以前のバージョンで利用できていた機能が変更されており、この機能をもとに戻すオプションもないため、古いChromeからv69へアップデートしたユーザーが悪意のあるファイルを誤ってダウンロードし実行(Command + クリック)してしまう可能性もあるとNoarさんはコメントしているので、Chrome for Macユーザーの方は注意してください。
コメント
逆にセキュリティ的にどうなんだ
うっかり実行するやん
もともと⌘クリックなんて使うか?
端っこクリックしたら保存先開けるから普通そっち使うだろ、safariだって虫眼鏡ボタンクリックするのと同じだ
実行したいときはファイル名のとこのボタンを直接クリックやしな
あとsafariのはそもそもDL後に自動で開くオプションだから、ここで持ち出す話じゃないぞ
新しいタブで開く
ああ、ダウンロードしたファイルのことか。それを⌘クリックはしたことないなぁ。出来ることすら知らなかった。