|
マイクロソフト、9月版の修正プログラムでJPEG処理の脆弱性などを修正任意のコードが実行されるOfficeの脆弱性を修正するプログラムも公開
今回報告された脆弱性は、JPEG画像の処理に未チェックのバッファが含まれることにより、同社はもっとも深刻度が高い“緊急”レベルに定義している。本脆弱性が悪用されると、攻撃者によりプログラムのインストール、データの表示、変更、削除、新規アカウントの作成などが、現在使用中のユーザーと同じ権限で行われる恐れがあるため、同社は本修正パッチのすみやかな適用を推奨している。 本脆弱性に関係するのは、Windows XP SP1/Server 2003といったOSのほか、「Internet Explorer」(以下、IE)v6 SP1や「Office XP」SP3、「Office 2003」、「Visio 2002」SP2、「Visio 2003」、「Visual Studio .NET 2002」、「Visual Studio .NET 2003」など、40以上のソフトに渡る。 一方、Windows 98/Me/NT 4.0 SP6a/2000 SP3/2000 SP4のほか、Windows XP SP2といったOS、さらにWindows 2000 SP3環境のIE v5.01 SP3、Windows 2000 SP4環境のIE v5.01 SP4、Windows Me環境のIE v5.5 SP2などは本脆弱性の影響は受けないが、影響を受けるソフトのいずれかがインストールされていれば、修正パッチの適用が必要。 なお、「Office 2003」SP1、「Visio 2003」SP1、「Project 2003」SP1といったサービスパックを適用済みのユーザーは、JPEG処理に関わるコンポーネントが更新されているため、本修正パッチを適用する必要はない。 そのほか、「Office 2000」SP3、「Office XP」SP3、「Office 2003」などOffice製品で、任意のコードが実行される脆弱性を修正するプログラム「WordPerfect 5.x コンバータ セキュリティ更新プログラム」も、同じく15日に公開されている。この脆弱性は、これらのソフトに含まれる“WordPerfectコンバーター”に起因し、WordPerfect文書を開くなどの操作により影響を受ける。なお同社によると、深刻度は4段階のうち上から2番目の“重要”と判定されている。
□JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987)(MS04-028) (石川 敬峰)
|
|
|
|||||||||||||
トップページへ |