MS04-028を悪用するJPEGファイルが公に

[ITmedia]

　米国時間の9月16日、WindowsやOfficeに存在するJPEG画像の処理に関連するセキュリティホール（MS04-028）を悪用するJPEGファイル（実証コード）が公開された。

　このセキュリティホールが公になったのは、米国時間の9月14日のこと。わずか2日間のうちに、この脆弱性を突いてWindows XPをクラッシュさせるコードが公開されたことになる。ただしこの細工を施したJPEGファイルの作者は、1年ほど前からこの問題に気付き、指摘を行っていたとも述べている。

　これを受けて、トレンドマイクロやシマンテックといったウイルス対策ベンダーでは、このJPEGファイルへの対応を行っている。しかし、より根本的な対策を図るのであれば、MS04-028のパッチ適用が不可欠だ。

　ここで注意が必要なのは、この脆弱性がWindows XP／Windows Server 2003、IE 6 Service Pack 1、Office XP／Office 2003、Visio、Picture It、Digital Image Proといった幅広いソフトウェアに存在するだけでなく、「Visual Studio .NET 2002／2003」「Microsoft .NET Framework 1.0／1.1 SDK」といったソフトウェア開発ツールにも影響する点だ。

　マイクロソフト以外のサードパーティ製アプリケーションでも、これらの開発ツールやGDI+の再配布モジュール（Microsoft Platform SDK Redistributable: GDI+）を用いて開発されたソフトウェアならば、同様の脆弱性が存在する可能性がある。ソフトウェアインストール先のOSや運用形態にもよるが、基本的には、システムに含まれる「gdiplus.dll」ファイルのバージョン番号が「5.1.3102.1355」未満の場合には脆弱性が存在するという。

　マイクロソフトではアプリケーション開発者向けに情報を公開し、影響の有無の確認と早期の対応を呼びかけている。実証コードが公開されたことを踏まえると、その必要性はいっそう高まったといえるだろう。