★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 278.html
 ★阿修羅♪
次へ 前へ
Windows PCのJPEGフォーマット処理方法に重大な欠陥【CNET_Japan記事】
http://www.asyura2.com/0406/it06/msg/278.html
投稿者 クエスチョン 日時 2004 年 9 月 15 日 19:06:47:WmYnAkBebEg4M
 

(回答先: ◎MSの月例アップデート、JPEG処理の脆弱性に対応【IT_Media記事】深刻度は最悪の「緊急」 投稿者 クエスチョン 日時 2004 年 9 月 15 日 19:05:34)

Windows PCのJPEGフォーマット処理方法に重大な欠陥【CNET_Japan記事】
http://japan.cnet.com/news/sec/story/0,2000050480,20073804,00.htm

Robert Lemos (CNET News.com)
2004/09/15 10:18 Trackback (9)

 Microsoftは14日(米国時間)、同社ソフトウェアのJPEG画像フォーマット処理方法に見つかった重大なセキュリティホールを修正するパッチをリリースした。また顧客に対し、新たに提供したツールを利用して、脆弱性のある多数のアプリケーションを修正するよう呼びかけている。

 この「緊急」レベルの欠陥は、Microsoftのオペレーティングシステム(OS)やその他のソフトウェアが、広く普及しているJPEG画像フォーマットを扱う際の方法に存在する。攻撃者がJPEG画像ファイルに細工を施すと、画像ファイルが開かれた瞬間に被害者のコンピュータ上で悪質なプログラムを実行されてしまうおそれがあるという。MicrosoftのInternet Explorer(IE)にもこの脆弱性が存在するため、Windowsユーザーは、細工が施された画像を含むウェブサイトを開くだけで、被害に遭う可能性がある。

 この欠陥が非常に深刻なことから、一部のセキュリティ専門家らは、この欠陥を悪用するウイルスがまもなく登場すると危惧している。

 セキュリティソフトウェア会社McAfeeのウイルスリサーチマネージャー、Craig Schmugarは「攻撃の可能性は非常に高い。しかしながら、この欠陥が悪用され得ることを証明するコードはまだ見つかっていない」と述べている。こうしたコードは欠陥の悪用方法を示すもので、通常はソフトウェアメーカーから製品のパッチがリリースされるとすぐに出現する。

 この欠陥は、少なくとも10数種のMicrosoft製ソフトウェアに見つかっており、同社のアプリケーションやOSのさまざまなバージョンが影響を受ける。そのなかにはWindows XP、Windows Server 2003、Office XP、Office 2003、Internet Explorer 6 Service Pack 1、Project、Visio、Picture It、Digital Image Proなどが含まれる。Microsoftは同社ウェブサイトのセキュリティ情報に、影響を受けるアプリケーションの全リストを掲載している。Windows XP Service Pack 2はこの脆弱性の影響を受けないものの、まだ多くのマシンに配布されている最中だ。

 「問題は、(欠陥の見つかった機能が)さまざまな製品に含まれていることだ」とMicrosoftインシデント対応センターのセキュリティプログラムマネージャーStephen Toulouseは述べている。

 影響を受けるアプリケーションの数が非常に多いことから、Microsoftはパッチとは別に、顧客がコンピュータをアップデートするためのツールを作成した。これにより、Windows Updateのユーザーも、同社のOffice Updateツールと、それから画像および開発アプリケーションを検知・アップデートするツールに転送される。こうしたツールは、同社が今後リリースする可能性のあるツールのプレビューに相当する、とToulouseは述べている。

 「顧客からは、ソフトウェアアップデートのプロセスをもっと簡単にするように言われている。そこで我々は、統一アップデートという仕組みに注目している」(Toulouse)

 Linuxの各ディストリビューションでは、必要に迫られて、すでにこうした統一アップデート用のソフトウェアを開発している。これは、OSのコア部分だけでなく、オープンソースコミュニティが開発したそれ以外のアプリケーションもアップデートできるというものだ。しかし、Windowsアプリケーションの大半はMicrosoft以外の企業が開発しているため、政治的な理由からこのような統一アップデートシステムをつくることがいっそう困難になっている。

 今回明らかにされたJPEG処理方法の欠陥を悪用されると、画像ファイルに隠したプログラムを被害者のシステム上で実行されてしまう。今回の欠陥は、8月初旬に見つかった画像関連の脆弱性とは別のものだ。8月に見つかった脆弱性は、PNGフォーマットをサポートする共通のコードライブラリに見つかったもので、WindowsアプリケーションだけでなくLinux用やAppleのMac OS X用アプリケーションにも影響する可能性があった。

 次へ  前へ

IT6掲示板へ


フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。