JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028) (Microsoft/TechNet)
JPEG ファイルの処理工程にバッファ オーバーランの脆弱性が発見されています。JPEG ファイルに脆弱性を攻撃するコードを含ませることで、現在のユーザーが持つ権限を取得可能です。この攻撃はいろいろなケースが想定されますので、非常に危険です。深刻度は一部のソフトウェアを除き「緊急」となっています。ユーザー権限を限定的なもの (Users、Power Users 等) にすることで、ある程度被害を抑えることができます。
この修正プログラムを Winodws / Office Update で適応する場合、まず GDI+ 脆弱性の検査ツールを二つのサイトからダウンロード / インストールすることになります。その後、専用の Web サイトへのアクセスを促され、サイト中央あたりにある「影響を受ける画像ソフトウェアのチェック」のボタンから脆弱性のチェックとプログラムの更新を行ないます。通常とは少し違う手順に注意してください! *1
また、Winodws / Office Update で適応できない修正プログラムもあります。それらは都度確認になってしまいます。ご留意ください。
影響を受けるソフトウェアは以下の通りです。
- Windows XP Gold、SP1 / Server 2003
- Internet Explorer 6.0 SP1
- .Net Framework 1.0 SP1 / 1.0 SDK SP2 / 1.1
- Office XP SP3 / 2003 / InterConnect Lite / Home Style+
- Project 2002 SP1 / 2003
- Visio 2002 SP2 / 2003
- Visual Studio .NET 2002 / 2003
- Pictuer It! デジカメスタジオ ver.9 / 2002 / 2003
- Pictuer It! Express ver.9 / 2002 / 2003
- Digital Image Suite
- Producer for Microsoft Office PowerPoint
- Microsoft Platform SDK Redistributable: GDI+
- その他英語製品
影響を受けないソフトウェアについては、当該ページをご参照ください。
*1:Windows 2000 Professional SP4 + Office 2000 Professional SP3 環境で確認・・・脆弱性の影響受けないじゃん・・・汗。他の環境で実行した場合の情報も募集しています。コメント頂けるとうれしいです!