WindowsのGDI+に未パッチの脆弱性、ただし影響は軽微？

[ITmedia]

　Microsoft WindowsのGraphics Device Interface（GDI+）に脆弱性が発見され、US-CERTが6月6日、アラートを公開した。現時点でパッチは公開されていない。

　US-CERTのアラートによると、GDI+はプログラマーが画面とプリンタに情報を表示するためのアプリケーションプログラミングインタフェース（API）で、ICO（アイコン）画像ファイルを処理できる機能を備える。

　脆弱性はこのGDI+のICO解析コンポーネントに存在する。InfoHeaderセクションで高さの値がゼロに設定されたICOファイルを処理する際に、整数ゼロ除算のエラーが発生する。

　この脆弱性はWindows Explorerで確認され、GDI+ライブラリを使っているほかのアプリケーションにも影響する可能性がある。

　この問題を突かれると、リモートの攻撃者が細工を施したICOファイルを使って脆弱性のあるシステムをDoS状態に陥れることが可能になり、アプリケーションがクラッシュする恐れがある。Windows Explorerの場合、デスクトップなどExplorerで表示される場所にこのファイルを置いておくだけで、エラー発生の原因となる可能性がある。ただし、FrSIRTではこの脆弱性の深刻度を、4段階中最も軽微な「Low Risk」と評価している。

　現時点でパッチなどの解決策は存在しない。Webサイト上のファイルや電子メールの添付ファイルなど、信頼できないファイルは開かないよう、アラートでは勧告している。