★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 281.html
 ★阿修羅♪
次へ 前へ
15日の【セキュリティーホールmemo】から。
http://www.asyura2.com/0406/it06/msg/281.html
投稿者 クエスチョン 日時 2004 年 9 月 16 日 07:31:00:WmYnAkBebEg4M
 

(回答先: ◎◎◎緊急連絡。小生SP2のインストールはせず、Windows Updateだけやりました。 投稿者 クエスチョン 日時 2004 年 9 月 15 日 19:28:21)

15日の【セキュリティーホールmemo】から。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2004/09.html#20040916_MS04-028

 ↑元文は要所要所にリンクがあるので、出来るだけ元文を見てください。

********************************************************************************

JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-028.asp

(Microsoft, 2004.09.15)

 Microsoft の多くのソフトウェアに含まれている GDI+ に欠陥。 JPEG 形式画像の処理において buffer overflow する欠陥がある。 この欠陥を利用すると、JPEG ファイルを用いて任意のコードを実行させることが可能。 欠陥のあるソフトウェアは以下のとおり:
OS
Windows XP gold / SP1
Windows Server 2003

 Windows XP SP2 にはこの欠陥はない。 Windows 98 / 98SE / Me / NT 4.0 / 2000 にもこの欠陥はない。
Office
Office XP (2002)
Office 2003 gold
Office InterConnect Lite
Office Home Style+ gold
Project 2002 SP1
Project 2003 gold
Visio 2002 SP2
Visio 2003 gold

 Office 2000 / 2003 SP1、Office InterConnect 2004、 Office Home Style+ SP1、 Outlook Plus! 1.0 / 2.0、 Project 2000 / 2003 SP1、 Visio 2000 / 2003 SP1 にはこの欠陥はない。
開発系
Visual Studio .NET 2002
Visual Studio .NET 2003
Platform SDK Redistributable: GDI+
コンポーネントなど
Internet Explorer 6 SP1
.NET Framework 1.0 SP2
.NET Framework 1.1 gold

 IE 5.01 SP[34] / 5.5 SP2、 .NET Framework 1.0 SP3 / 1.1 SP1 にはこの欠陥はない。
その他のソフト
Picture It! 2002 / version 7 / version 9
Picture It! デジカメスタジオ Version 2002 / 2003 / version 9
Picture It! Express version 2002 / 2003 / version 9
Digital Image Pro version 2003 / 7.0 / version 9
Digital Image Suite version 9
Producer for Microsoft Office PowerPoint

 Digital Image Suite 10, Microsoft Digital Image Pro 10, Picture It! Premium 10 にはこの欠陥はない。

 発見者による解説: [Full-Disclosure] Microsoft GDIPlus.DLL JPEG Parsing Engine Buffer Overflow。CVE: CAN-2004-0200。

 対応するには、修正プログラムを適用するか、あるいは欠陥のないバージョン (SP) にアップグレードすればよい。 Windows Update や Office アップデートを利用すると負担が少なくて済むが、 全ての修正がこれらから入手できるわけではない。 手元で試した限りでは、 .NET Framework の SP は Windows Update に出たり出なかったりするようだし……。

 対応すべきファイル: FAQ より:
SMS は Gdiplus.dll ファイルの存在を検索することができます。このセキュリティ情報に記載されている影響を受けるプログラムおよびコンポーネントについて、バージョン 5.1.3102.1355 以前の Gdiplus.dll のすべてのバージョンを更新する必要があります。 (中略)
Office XP および Project 2002 について、Mso.dll ファイルが存在するかどうかも検索する必要があります。10.0.6714.0 より前の Mso.dll のすべてのバージョンを更新して下さい。Visio 2002 については、Mso.dll ファイルおよび Gdiplus.dll ファイルの存在を検索する必要があります。この理由は、Visio 2002 は、両方のファイルを提供するためです。(Windows XP または Windows Server 2003 は除きます。これらのオペレーティング システムでは Mso.dll ファイルのみを提供します。) Windows XP または Windows Server 2003 オペレーティング システムで実行されていない Internet Explorer 6 Service Pack 1SP1 のインストールについては、Vgx.dll ファイルを検索して下さい。バージョン 6.0.2800.1411 より前の Vgx.dll のすべてのバージョンを更新して下さい。

 Windows Update などで「GDI+ 検出ツール」というものが配布されているが、実行しても「あります」「ありません」レベルの答えしか返ってこないし。上記ファイルにあるファイルをひとつずつチェックした方が早いと思う。 スレッド: MS04-028[緊急]:JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (hotfix.jp) も参照。 3rd party 製ソフトに含まれる場合もあるようですね……。いやはや。 MSDE 2000 と同じパターンか

 次へ  前へ

IT6掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。