ニュース
» 2007年06月07日 08時57分 UPDATE

WindowsのGDI+に未パッチの脆弱性、ただし影響は軽微?

US-CERTのアラートによると、GDI+のICO解析コンポーネントに整数ゼロ除算の脆弱性が存在する。

[ITmedia]

 Microsoft WindowsのGraphics Device Interface(GDI+)に脆弱性が発見され、US-CERTが6月6日、アラートを公開した。現時点でパッチは公開されていない。

 US-CERTのアラートによると、GDI+はプログラマーが画面とプリンタに情報を表示するためのアプリケーションプログラミングインタフェース(API)で、ICO(アイコン)画像ファイルを処理できる機能を備える。

 脆弱性はこのGDI+のICO解析コンポーネントに存在する。InfoHeaderセクションで高さの値がゼロに設定されたICOファイルを処理する際に、整数ゼロ除算のエラーが発生する。

 この脆弱性はWindows Explorerで確認され、GDI+ライブラリを使っているほかのアプリケーションにも影響する可能性がある。

 この問題を突かれると、リモートの攻撃者が細工を施したICOファイルを使って脆弱性のあるシステムをDoS状態に陥れることが可能になり、アプリケーションがクラッシュする恐れがある。Windows Explorerの場合、デスクトップなどExplorerで表示される場所にこのファイルを置いておくだけで、エラー発生の原因となる可能性がある。ただし、FrSIRTではこの脆弱性の深刻度を、4段階中最も軽微な「Low Risk」と評価している。

 現時点でパッチなどの解決策は存在しない。Webサイト上のファイルや電子メールの添付ファイルなど、信頼できないファイルは開かないよう、アラートでは勧告している。

関連キーワード

パッチ | 脆弱性 | Windows


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

マーケット解説

- PR -