★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 276.html
 ★阿修羅♪
次へ 前へ
◎WindowsやIE,Officeなど複数のマイクロソフト製品に「緊急」のセキュリティ・ホール【IT_Pro】最悪
http://www.asyura2.com/0406/it06/msg/276.html
投稿者 クエスチョン 日時 2004 年 9 月 15 日 18:54:30:WmYnAkBebEg4M
 

(回答先: ウィンドウズXPに最高度の欠陥…データ盗難の恐れ [読売新聞] 投稿者 あっしら 日時 2004 年 9 月 15 日 15:58:58)

◎WindowsやIE,Officeなど複数のマイクロソフト製品に「緊急」のセキュリティ・ホール【IT_Pro】Jpg関連、最悪レベル
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040915/149928/

 マイクロソフトは9月15日,Windows XP/Server 2003やInternet Explorer(IE),Officeなどに見つかった危険なセキュリティ・ホールを公開した。細工が施されたJPEGファイルを含むWebページやHTMLメール,フォルダ,文書ファイルなどを開くだけで,任意のプログラムを実行させられる恐れがある。深刻度は最悪の「緊急」。対策は,「Windows Update」や「Office アップデート」などを利用してパッチを適用すること。影響を受けるソフトウエアすべてにパッチを適用する必要がある。

 今回,WindowsやOfficeなどに含まれる画像処理用プログラム(ライブラリ)「GDI+(Gdiplus.dll)」にセキュリティ・ホールが見つかった。GDI+のJPEG画像処理ルーチンにバッファ・オーバーランのセキュリティ・ホールが存在する。このため,細工が施されたJPEGファイルを読み込むとバッファ・オーバーフローが発生し,JPEGファイルに仕込まれた任意のプログラムをそのユーザーの権限で実行させられる。

 GDI+を使ってJPEG画像を処理するすべてのソフトウエアが影響を受けるので,さまざまな攻撃方法が考えられる。細工を施したJPEG画像をWebページやHTMLファイル,Office文書に貼り込んでおけば,それらを開いただけで被害を受ける。また,細工を施したJPEG画像をあるフォルダに置いておけば,Windowsエクプローラでそのフォルダを指定しただけで被害を受ける。

 影響を受けるOSは,Windows XP/Windows Server 2003(Windows XP SP2は影響を受けない)。アプリケーションとしては,Office XP/Office 2003,Visio 2002/2003,Visual Studio .NET 2002/2003,Picture It! シリーズ,IE 6 SP1,.NET Framework version 1.0/1.1など。これら以外にも影響を受ける製品があるので,詳細は同社のセキュリティ情報を参照してほしい。

 対策はパッチを適用すること。セキュリティ・ホールがあるGDI+は,今回「影響を受けるソフトウエア/コンポーネント」とされた製品すべてに含まれる。このため,「影響を受けるソフトウエア/コンポーネント」のすべてに,それぞれの修正パッチを適用する必要がある。例えば,Office XPをインストールしたWindows XPマシンのユーザーは,Office XPとWindows XPのパッチ両方を適用する必要がある。

 影響を受けるソフトウエア/コンポーネントすべてにパッチを適用する具体的な手順は「絵でみるセキュリティ情報 MS04-028 : Windows の重要な更新」に詳しい。まず,Windows Updateを使って,WindowsやIE,.NET Frameworkのパッチを適用する。その後,Officeユーザーは,「Office のアップデート」を利用して,OfficeやVisioなどのパッチを適用する(「Officeのアップデート」の使い方は,「Office アップデートを行う」を参照)。そして,Windows UpdateやOfficeのアップデートで適用できないパッチ(Picture IT!やVisual Studio .NETなどのパッチ)は,セキュリティ情報のページなどからダウンロードして適用する。

 なおマイクロソフトでは,これらのパッチをすべて適用しても,セキュリティ・ホールが残っている可能性があるとしている。サードパーティが作成したソフトウエアにGDI+が含まれている場合があるからだ。その場合には,その開発ベンダーに問い合わせる必要がある(詳細は「マイクロソフト セキュリティ情報 (MS04-028) : よく寄せられる質問」を参照のこと)。

 今回のセキュリティ情報の公開とともに,マイクロソフトではGDI+を検出するツールを公開した(現在は英語情報のみ)。パッチの適用漏れをチェックするために利用できる。

◎参考資料
◆JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)
◆マイクロソフト セキュリティ情報 (MS04-028) : よく寄せられる質問
◆絵でみるセキュリティ情報 MS04-028 : Windows の重要な更新
◆マイクロソフト サポート技術情報 - 873374 Description of the Microsoft GDI+ Detection Tool: September 14, 2004

(勝村 幸博=IT Pro)

 次へ  前へ

IT6掲示板へ


フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。