現在地 HOME > 掲示板 > IT6 > 296.html ★阿修羅♪ |
|
Tweet |
(回答先: Windows XPを終了させるJPEGファイルが出現,9月のセキュリティ・ホールを突く【IT_Pro記事】 投稿者 クエスチョン 日時 2004 年 9 月 19 日 00:09:19)
MS04-028を悪用するJPEGファイルが公に【IT_Media記事】
http://www.itmedia.co.jp/enterprise/articles/0409/18/news004.html
2004/09/18 05:38 更新
WindowsやOfficeに存在するJPEG画像の処理に関連するセキュリティホールを悪用し、Windows XPをクラッシュさせるJPEGファイルが公開された。
米国時間の9月16日、WindowsやOfficeに存在するJPEG画像の処理に関連するセキュリティホール(MS04-028)を悪用するJPEGファイル(実証コード)が公開された。
このセキュリティホールが公になったのは、米国時間の9月14日のこと。わずか2日間のうちに、この脆弱性を突いてWindows XPをクラッシュさせるコードが公開されたことになる。ただしこの細工を施したJPEGファイルの作者は、1年ほど前からこの問題に気付き、指摘を行っていたとも述べている。
これを受けて、トレンドマイクロやシマンテックといったウイルス対策ベンダーでは、このJPEGファイルへの対応を行っている。しかし、より根本的な対策を図るのであれば、MS04-028のパッチ適用が不可欠だ。
ここで注意が必要なのは、この脆弱性がWindows XP/Windows Server 2003、IE 6 Service Pack 1、Office XP/Office 2003、Visio、Picture It、Digital Image Proといった幅広いソフトウェアに存在するだけでなく、「Visual Studio .NET 2002/2003」「Microsoft .NET Framework 1.0/1.1 SDK」といったソフトウェア開発ツールにも影響する点だ。
マイクロソフト以外のサードパーティ製アプリケーションでも、これらの開発ツールやGDI+の再配布モジュール(Microsoft Platform SDK Redistributable: GDI+)を用いて開発されたソフトウェアならば、同様の脆弱性が存在する可能性がある。ソフトウェアインストール先のOSや運用形態にもよるが、基本的には、システムに含まれる「gdiplus.dll」ファイルのバージョン番号が「5.1.3102.1355」未満の場合には脆弱性が存在するという。
マイクロソフトではアプリケーション開発者向けに情報を公開し、影響の有無の確認と早期の対応を呼びかけている。実証コードが公開されたことを踏まえると、その必要性はいっそう高まったといえるだろう。
関連記事
Windows PCのJPEGフォーマット処理方法に重大な欠陥
MSの月例アップデート、JPEG処理の脆弱性に対応
関連リンク
マイクロソフト:JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)
マイクロソフト:GDI+ を利用している製品のセキュリティ対策方法についてよく寄せられる質問 (FAQ)
[ITmedia]