★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 335.html
 ★阿修羅♪
次へ 前へ
◎JPEGの脆弱性突いたさらに危険なコードが公開【IT_Media】IE関連。1週間前のより更に危険とのこと
http://www.asyura2.com/0406/it06/msg/335.html
投稿者 クエスチョン 日時 2004 年 9 月 24 日 22:00:22:WmYnAkBebEg4M
 

関連投稿

ウィンドウズXPに最高度の欠陥…データ盗難の恐れ [読売新聞]
http://www.asyura2.com/0406/it06/msg/273.html
投稿者 あっしら 日時 2004 年 9 月 15 日 15:58:58:Mo7ApAlflbQ6s

◎◎◎緊急連絡。小生SP2のインストールはせず、Windows Updateだけやりました。
http://www.asyura2.com/0406/it06/msg/279.html
投稿者 クエスチョン 日時 2004 年 9 月 15 日 19:28:21:WmYnAkBebEg4M

********************************************************************************

◎JPEGの脆弱性突いたさらに危険なコードが公開【IT_Media】IE関連。1週間前のより更に危険とのこと
http://www.itmedia.co.jp/enterprise/articles/0409/24/news006.html

1週間前に登場したIEのJPEG脆弱性実証コードを上回る、さらに危険なコードが公開された。(IDG)


2004/09/24 07:15 更新

 MicrosoftのInternet Explorer(IE)で最近発見された脆弱性を突く新しいコンピュータコードがインターネットに出回っている。ウイルス対策企業やセキュリティ専門家によると、攻撃者がリモートから脆弱性のあるWindowsマシンを完全に乗っ取ることができてしまう可能性がある。

 新たな「コンセプト実証」型プログラム2種類は9月22日に出現、セキュリティ専門家が参照しているWebサイトとニュースグループに掲載された。これより以前にもこの脆弱性の実証コードが出現しているが、今回のコードの方が危険度は高いという。Windowsシステムをフリーズさせたりクラッシュさせるだけにとどまらず、攻撃者が自分のコードを実行できてしまうと、SANS Institute Internet Storm Centerのヨハネス・ウルリッチCTOは解説する。

 同氏によれば、この2種類のコードは22日、セキュリティディスカッションリストのFull-Disclosureと、ソフト脆弱性専門のフランス語サイトwww.k-otik.comに掲載された。

 このコードは、MicrosoftアプリケーションがJPEGファイルを処理する方法に存在する脆弱性を突いている。Microsoftはこの問題の深刻度を「緊急」と評価、14日にパッチをリリース済み(MS04-028)。

 このコードを作成してFull Disclosureに投稿したローマ在住のコンピュータエンジニアがIDG News Serviceの取材に語ったところでは、今回のコードではJPEGファイルをフォーマットして、Windows、Internet Explorer、Outlookなどのアプリケーションで使われている共通のWindowsコンポーネント、Gdiplus.dllでオーバーフローが誘発されるようになっている。

 一つ目のコードでは、Windows Explorerを使って問題のJPEGファイルが開かれると、脆弱性のあるWindowsシステム上でコマンドシェルを開く。これ自体は損害を及ぼすものではないが、攻撃者がリモートからスクリプトに不正コマンドを追加して、システム上で簡単に実行できてしまうとウルリッチ氏。

 もう一つのコードは米国東部時間の22日遅くに公開された。攻撃コードにさらに手を加え、JPEGファイルがWindows Explorerで開かれると、脆弱性のあるWindowsシステムに「X」という名称の管理者レベルの新規アカウントを作成するようになっている。攻撃者はこのアカウントを使って、標準的なWindowsのネットワーキング機能でそのマシンにログオンできてしまうという。

 このコードはウイルスを使い、損傷したJPEG画像の形で電子メールの添付ファイルとしてばらまかれたり、Webサイトに掲載される可能性がある。実際、もしも攻撃者が画像を送り出しているWebサーバにアクセスして攻撃スクリプトを仕掛けることができれば、そのWebサーバから送られるJPEGファイルを大幅に改竄してしまうことも可能だとウルリッチ氏は話す

 Symantecは23日、コマンドシェルを開く新たな実証コードがリリースされたことを受け、JPEG脆弱性の危険度評価を10段階中の9.2に引き上げた。

[IDG Japan]

Copyright(C) IDG Japan, Inc. All Rights Reserved.

 次へ  前へ

IT6掲示板へ


フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。