トランペットブログ個別記事

2004年09月16日

JPEG画像を見ただけで危険が

MicrosoftのJPEG周りのGDI (Graphics Device Interface)に、オーバーフロウで任意のコードが実行される脆弱性が見つかったそうです。
[用語]GDI+について

参照先リスト

[ 1.] JPEG 処理 (GDI+) のバッファオーバーランにより、コードが実行される (833987) (MS04-028)
[ 2.] WindowsやOfficeなどのマイクロソフト製品にJPEG処理の脆弱性
[ 3.] Windows PCのJPEGフォーマット処理方法に重大な欠陥 - CNET Japan
[ 4.] ITmedia エンタープライズ：Windows PCのJPEGフォーマット処理方法に重大な欠陥
[ 5.] セキュリティホール memo

この脆弱性に関しては、警察庁でも「適切な修正プログラムをダウンロードし、適用してください」と対策を呼びかけています。
@police-JPEG処理(GDI+)のバッファ?オーバーランにより、コードが実行される(MS04-028)(9/15)

みなさん、WindowsUpdateしてますか。気づかぬうちに犯罪の踏み台にされてたり、パソコン内のデータを持ち去られているかも…。

[参考リンク]WindowsUpdateをしましょう
[参考リンク]Microsoft セキュリティスクエア - ウイルス対策をしよう

管理者権限でログインしてるユーザーがこの脆弱性を突かれると、外部から完全にマシンをコントロールされてしまうとのこと。具体的には勝手にプログラムをインストールされたり、ファイルを見られたり消されたり改竄されたり。新しく勝手に管理者権限のユーザのアカウントを作られてバックドアにされたり。逆にあなたがPCをいじる権限を、ものすごく制限されたものにしたり(最悪ログインできなくしたり)

JPEG画像を表示させられれば、攻撃者側は攻撃できるので、そういった画像を貼られたWebSIteを見るだけでも危険です。もちろん、HTMLメールも攻撃に使えます。参考ニューズグループ　：Newsgroups:uk.rec.motorcycles:

というわけで記事の最初のほうにあったリンク先で、アップデートをどうぞー。

■関係してそうなアイテム from Amazon

Posted by horagay at 2004年09月16日 15:39 | トラックバック

コメントする

バナーは大小お好きな方を御自由にどうぞ

御意見は管理人まで。このページは当然リンクフリーです。
当サイトで紹介する情報等は、自己責任においてご利用下さい。当サイトの利用によって生じたあらゆる損害に対して、管理者は一切の責任を負いません。
Copyright (C) 2003 Gonez Factory. All Rights Reserved.

旅・旅行の自作動画：：Gone's Factoryもよろしければ(^-^