速報
» 2004年09月18日 05時38分 UPDATE

MS04-028を悪用するJPEGファイルが公に

WindowsやOfficeに存在するJPEG画像の処理に関連するセキュリティホールを悪用し、Windows XPをクラッシュさせるJPEGファイルが公開された。

[ITmedia]

 米国時間の9月16日、WindowsやOfficeに存在するJPEG画像の処理に関連するセキュリティホール(MS04-028)を悪用するJPEGファイル(実証コード)が公開された。

 このセキュリティホールが公になったのは、米国時間の9月14日のこと。わずか2日間のうちに、この脆弱性を突いてWindows XPをクラッシュさせるコードが公開されたことになる。ただしこの細工を施したJPEGファイルの作者は、1年ほど前からこの問題に気付き、指摘を行っていたとも述べている。

 これを受けて、トレンドマイクロやシマンテックといったウイルス対策ベンダーでは、このJPEGファイルへの対応を行っている。しかし、より根本的な対策を図るのであれば、MS04-028のパッチ適用が不可欠だ。

 ここで注意が必要なのは、この脆弱性がWindows XP/Windows Server 2003、IE 6 Service Pack 1、Office XP/Office 2003、Visio、Picture It、Digital Image Proといった幅広いソフトウェアに存在するだけでなく、「Visual Studio .NET 2002/2003」「Microsoft .NET Framework 1.0/1.1 SDK」といったソフトウェア開発ツールにも影響する点だ。

 マイクロソフト以外のサードパーティ製アプリケーションでも、これらの開発ツールやGDI+の再配布モジュール(Microsoft Platform SDK Redistributable: GDI+)を用いて開発されたソフトウェアならば、同様の脆弱性が存在する可能性がある。ソフトウェアインストール先のOSや運用形態にもよるが、基本的には、システムに含まれる「gdiplus.dll」ファイルのバージョン番号が「5.1.3102.1355」未満の場合には脆弱性が存在するという。

 マイクロソフトではアプリケーション開発者向けに情報を公開し、影響の有無の確認と早期の対応を呼びかけている。実証コードが公開されたことを踏まえると、その必要性はいっそう高まったといえるだろう。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -