"WindowsやOfficeなどのマイクロソフト製品にJPEG処理の脆弱性 "〜深刻度は“緊急”、デジカメスタジオやVisio、Office製品も影響
マイクロソフトは15日、JPEG処理(GDI+)のバッファオーバーランにより、任意のコードが外部から実行されてしまう脆弱性のセキュリティ修正プログラム「MS04-028」を発表した。深刻度は“緊急”で、Windows Updateなどでダウンロード可能だ。Windows Server 2003/XPに加え、Office System 2003/XP、Visio 2003/2002、デジカメスタジオ Version 2003/2002/9、Digital Image Pro version 2003/9、Digital Image Suite version 9などで影響を受ける。
ただし、Service Pack(以下SP)2を適用済みのWindows XP、SP3またはSP4を適用済みのWindows 2000、SP6を適用済みのNT 4.0/Me/98SE、SP1を適用済みのOffice 2003では影響を受けない。また、Office 2000はSP適用の有無に関わらず影響を受けない。
MS04-028は、JPEGファイルの処理(GDI+)に関わるバッファオーバーランの脆弱性。影響を受けるコンピュータにおいて、リモートで任意のコードが実行される可能性がある。GDI+とは、アプリケーションやプログラマーに、二次元のベクターグラフィックスや文字の描画表現を提供するグラフィックスデバイスインターフェイスだ。
管理者権限を持つユーザーがログオンしているコンピュータで、この脆弱性が悪用されると、プログラムのインストールやアンインストール、データの表示、変更、削除などが外部から実行可能となるほか、完全な権限を持つ新規アカウントを作成するなど、攻撃者にパソコンの管理権限を奪われる可能性がある。
なお、悪意のあるJPEGファイルを開いたり、そういったJPEGファイルを含むディレクトリを表示しない限り、この脆弱性を悪用される可能性はないという。
この脆弱性に関しては、警察庁でも「適切な修正プログラムをダウンロードし、適用してください」と対策を呼びかけている。
こないだパソコンが壊れた原因まさかこれじゃないよねぇ・・・
初期化する前はSP2入れてたと思うんだけど、勘違いだったかな?
今日、さっそくUPDATEしましたけど・・・(ものすごい時間かかったんですけど^^;)
これ入れてからポップアップ広告がブロックされるようになった。
でも、見たいポップアップもあるから、ポップアップ見たいときだけこの機能を無効にするか最初から無効にしておくべきか考え中。めんどくさ(-.-)
コメント