JPEG画像を見ただけで危険が

公開日： 2004/09/16 : News

MicrosoftのJPEG周りのGDI (Graphics Device Interface)に、オーバーフロウで任意のコードが実行される脆弱性が見つかったそうです。
[用語]GDI+について

参照先リスト

[ 1.] JPEG 処理 (GDI+) のバッファオーバーランにより、コードが実行される (833987) (MS04-028)
[ 2.] WindowsやOfficeなどのマイクロソフト製品にJPEG処理の脆弱性
[ 3.] Windows PCのJPEGフォーマット処理方法に重大な欠陥 – CNET Japan
[ 4.] ITmedia エンタープライズ：Windows PCのJPEGフォーマット処理方法に重大な欠陥

[ 5.] セキュリティホール memo

この脆弱性に関しては、警察庁でも「適切な修正プログラムをダウンロードし、適用してください」と対策を呼びかけています。
@police-JPEG処理(GDI+)のバッファ?オーバーランにより、コードが実行される(MS04-028)(9/15)

みなさん、WindowsUpdateしてますか。気づかぬうちに犯罪の踏み台にされてたり、パソコン内のデータを持ち去られているかも…。

[参考リンク]WindowsUpdateをしましょう
[参考リンク]Microsoft セキュリティスクエア – ウイルス対策をしよう

管理者権限でログインしてるユーザーがこの脆弱性を突かれると、外部から完全にマシンをコントロールされてしまうとのこと。具体的には勝手にプログラムをインストールされたり、ファイルを見られたり消されたり改竄されたり。新しく勝手に管理者権限のユーザのアカウントを作られてバックドアにされたり。逆にあなたがPCをいじる権限を、ものすごく制限されたものにしたり(最悪ログインできなくしたり)

JPEG画像を表示させられれば、攻撃者側は攻撃できるので、そういった画像を貼られたWebSIteを見るだけでも危険です。もちろん、HTMLメールも攻撃に使えます。
参考ニューズグループ　：Newsgroups:uk.rec.motorcycles:

というわけで記事の最初のほうにあったリンク先で、アップデートをどうぞー。