Internet Watch logo
記事検索
最新ニュース

WindowsやOfficeなどのマイクロソフト製品にJPEG処理の脆弱性

〜深刻度は“緊急”、デジカメスタジオやVisio、Office製品も影響

 マイクロソフトは15日、JPEG処理(GDI+)のバッファオーバーランにより、任意のコードが外部から実行されてしまう脆弱性のセキュリティ修正プログラム「MS04-028」を発表した。深刻度は“緊急”で、Windows Updateなどでダウンロード可能だ。Windows Server 2003/XPに加え、Office System 2003/XP、Visio 2003/2002、デジカメスタジオ Version 2003/2002/9、Digital Image Pro version 2003/9、Digital Image Suite version 9などで影響を受ける。

 ただし、Service Pack(以下SP)2を適用済みのWindows XP、SP3またはSP4を適用済みのWindows 2000、SP6を適用済みのNT 4.0/Me/98SE、SP1を適用済みのOffice 2003では影響を受けない。また、Office 2000はSP適用の有無に関わらず影響を受けない。

 MS04-028は、JPEGファイルの処理(GDI+)に関わるバッファオーバーランの脆弱性。影響を受けるコンピュータにおいて、リモートで任意のコードが実行される可能性がある。GDI+とは、アプリケーションやプログラマーに、二次元のベクターグラフィックスや文字の描画表現を提供するグラフィックスデバイスインターフェイスだ。

 管理者権限を持つユーザーがログオンしているコンピュータで、この脆弱性が悪用されると、プログラムのインストールやアンインストール、データの表示、変更、削除などが外部から実行可能となるほか、完全な権限を持つ新規アカウントを作成するなど、攻撃者にパソコンの管理権限を奪われる可能性がある。

 なお、悪意のあるJPEGファイルを開いたり、そういったJPEGファイルを含むディレクトリを表示しない限り、この脆弱性を悪用される可能性はないという。

 この脆弱性に関しては、警察庁でも「適切な修正プログラムをダウンロードし、適用してください」と対策を呼びかけている。


関連情報

URL
  MS04-028
  http://www.microsoft.com/japan/technet/security/bulletin/MS04-028.asp
  絵でみるセキュリティ情報(MS04-028)
  http://www.microsoft.com/japan/security/security_bulletins/ms04-028e.asp
  重要なお知らせ(警察庁)
  http://www.cyberpolice.go.jp/important/2004/20040915_065929.html


( 鷹木 創 )
2004/09/15 11:01

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.