窓の杜Logo
NEWS (04/09/15 16:20)

マイクロソフト、9月版の修正プログラムでJPEG処理の脆弱性などを修正

任意のコードが実行されるOfficeの脆弱性を修正するプログラムも公開

修正プログラムのダウンロードページ
修正プログラムのダウンロードページ
 マイクロソフト(株)は15日、JPEG処理に関わるコンポーネント“GDI+”(Graphics Design Interface Plus)に、バッファ・オーバーランによりリモートでコードが実行される脆弱性が存在する問題に対し、毎月公開される修正プログラムの9月版としてセキュリティ修正プログラムを公開した。現在、同社Webサイトや“Windows Update”機能、あるいはWebサイト“Office Online”からのオンラインアップデートを利用して、修正プログラムを無償でダウンロードできる。

 今回報告された脆弱性は、JPEG画像の処理に未チェックのバッファが含まれることにより、同社はもっとも深刻度が高い“緊急”レベルに定義している。本脆弱性が悪用されると、攻撃者によりプログラムのインストール、データの表示、変更、削除、新規アカウントの作成などが、現在使用中のユーザーと同じ権限で行われる恐れがあるため、同社は本修正パッチのすみやかな適用を推奨している。

 本脆弱性に関係するのは、Windows XP SP1/Server 2003といったOSのほか、「Internet Explorer」(以下、IE)v6 SP1や「Office XP」SP3、「Office 2003」、「Visio 2002」SP2、「Visio 2003」、「Visual Studio .NET 2002」、「Visual Studio .NET 2003」など、40以上のソフトに渡る。

 一方、Windows 98/Me/NT 4.0 SP6a/2000 SP3/2000 SP4のほか、Windows XP SP2といったOS、さらにWindows 2000 SP3環境のIE v5.01 SP3、Windows 2000 SP4環境のIE v5.01 SP4、Windows Me環境のIE v5.5 SP2などは本脆弱性の影響は受けないが、影響を受けるソフトのいずれかがインストールされていれば、修正パッチの適用が必要。

 なお、「Office 2003」SP1、「Visio 2003」SP1、「Project 2003」SP1といったサービスパックを適用済みのユーザーは、JPEG処理に関わるコンポーネントが更新されているため、本修正パッチを適用する必要はない。

 そのほか、「Office 2000」SP3、「Office XP」SP3、「Office 2003」などOffice製品で、任意のコードが実行される脆弱性を修正するプログラム「WordPerfect 5.x コンバータ セキュリティ更新プログラム」も、同じく15日に公開されている。この脆弱性は、これらのソフトに含まれる“WordPerfectコンバーター”に起因し、WordPerfect文書を開くなどの操作により影響を受ける。なお同社によると、深刻度は4段階のうち上から2番目の“重要”と判定されている。


□JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987)(MS04-028)
http://www.microsoft.com/japan/technet/security/bulletin/MS04-028.asp
□WordPerfect コンバータの脆弱性により、コードが実行される (884933) (MS04-027)
http://www.microsoft.com/japan/technet/security/bulletin/MS04-027.asp

(石川 敬峰)



トップページへ

Copyright (c) 2004 Impress Corporation All rights reserved.
編集部への連絡は お問い合わせはこちらをクリック まで