　新たな「コンセプト実証」型プログラム2種類は9月22日に出現、セキュリティ専門家が参照しているWebサイトとニュースグループに掲載された。これより以前にもこの脆弱性の実証コードが出現しているが、今回のコードの方が危険度は高いという。Windowsシステムをフリーズさせたりクラッシュさせるだけにとどまらず、攻撃者が自分のコードを実行できてしまうと、SANS Institute Internet Storm Centerのヨハネス・ウルリッチCTOは解説する。

　同氏によれば、この2種類のコードは22日、セキュリティディスカッションリストのFull-Disclosureと、ソフト脆弱性専門のフランス語サイトwww.k-otik.comに掲載された。

　このコードは、MicrosoftアプリケーションがJPEGファイルを処理する方法に存在する脆弱性を突いている。Microsoftはこの問題の深刻度を「緊急」と評価、14日にパッチをリリース済み（MS04-028）。

　このコードを作成してFull Disclosureに投稿したローマ在住のコンピュータエンジニアがIDG News Serviceの取材に語ったところでは、今回のコードではJPEGファイルをフォーマットして、Windows、Internet Explorer、Outlookなどのアプリケーションで使われている共通のWindowsコンポーネント、Gdiplus.dllでオーバーフローが誘発されるようになっている。

　一つ目のコードでは、Windows Explorerを使って問題のJPEGファイルが開かれると、脆弱性のあるWindowsシステム上でコマンドシェルを開く。これ自体は損害を及ぼすものではないが、攻撃者がリモートからスクリプトに不正コマンドを追加して、システム上で簡単に実行できてしまうとウルリッチ氏。

　もう一つのコードは米国東部時間の22日遅くに公開された。攻撃コードにさらに手を加え、JPEGファイルがWindows Explorerで開かれると、脆弱性のあるWindowsシステムに「X」という名称の管理者レベルの新規アカウントを作成するようになっている。攻撃者はこのアカウントを使って、標準的なWindowsのネットワーキング機能でそのマシンにログオンできてしまうという。

　このコードはウイルスを使い、損傷したJPEG画像の形で電子メールの添付ファイルとしてばらまかれたり、Webサイトに掲載される可能性がある。実際、もしも攻撃者が画像を送り出しているWebサーバにアクセスして攻撃スクリプトを仕掛けることができれば、そのWebサーバから送られるJPEGファイルを大幅に改竄してしまうことも可能だとウルリッチ氏は話す。

　Symantecは23日、コマンドシェルを開く新たな実証コードがリリースされたことを受け、JPEG脆弱性の危険度評価を10段階中の9.2に引き上げた。