« あまり一般的とは言えない逸般向けニュース 9/14 | Pääsivu | Software Update 9/15 »

15.9.2004

月刊Windows Update 9月号

今月号は、発行の前にいろいろとUpdateとかSPなんかが出てたんで、ここに書いているよりもいろいろと出てくる可能性大(.Net FrameworkのSPとか)

WordPerfect コンバータの脆弱性により、コードが実行される (884933) (MS04-027)[重要]
対象はOffice、FrontPage、Publisher、Works Suiteの各バージョン(Office 2003 SP1には、この修正パッチがすでに含まれている)
ユーザが管理者権限でアクセスしている際に不正なWordPerfectのファイルを開くと、リモートからそのマシンの完全な制御を行うことができるらしい
なお、このセキュリティパッチは、Microsoft Officeのアップデートからインストールすることに注意


JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)[緊急]
対象はWindows XP SP1以前、Windows 2003、Office XP SP3、Office 2003、他各種アプリケーション
各種製品が曲者で、かなり広範囲にありますので、リンク先で確認してください
また、Windows 98/98SE/Me/NT4.0/2000単体にはこの脆弱性は含まれませんが、対象となるOffice製品や各種アプリをインストールしている際にはこの限りではありません
攻撃シナリオは、不正なJPEGファイルを見せることによって攻撃可能なので、不正なJPEG画像を含むWebページを見せるだけとか、かなりお手軽なものですが、ユーザが管理者権限でアクセスしている際に不正なWordPerfectのファイルを開くと、リモートからそのマシンの完全な制御を行うことができると言うかなり危険なものです
必ずパッチを当てておきましょう

また、このセキュリティパッチを適用するのは、Microsoft Officeのアップデートからインストールすることも可能(Office製品に関しては)
また、通常のWindows Updateは、OS向けのパッチ(XP SP1/2003)と「JPEG 処理 (GDI+) のセキュリティ更新プログラム」(9x系/NT/2000)が適用され、JPEG 処理 (GDI+) のセキュリティ更新プログラムでコンピュータを更新する方法と言うページを開いて、ここから影響を受けるアプリケーションのチェックをすることが可能です
Windows XP/2003の以外の場合、Windows Updateでインストールされるのはチェックプログラムだけと言う点に注意してください(Office製品についてはOfficeのアップデートからパッチの適用が可能だけど)
また、パッチが当たるのはOSのみ(Office Updateの場合にはOffice製品だけ)という点も注意しましょう


(追記)
Windows Security Centerのおざきさんからコメントいただきました
IE6 SP1もJPEG GDI+ ライブラリの問題、まともに影響受けます
上記のような環境の場合、Windows Updateでセキュリティパッチが表示されるとのこと……メモメモ
また、おざきさんのところの情報が見やすくまとまってるので貼っておきます

MS04-028 : JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987)[Windows Security Center]
Internet Explorer SP1 で、JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される[Microsoft]


【関連情報】
[OFF2003] [MS04-027] WordPerfect コンバータの脆弱性により、コードが実行される[Microsoft]
[OFF] 2004 年 9 月 15 日に公開された Office のセキュリティ情報に関して[Microsoft]
[MS04-028] JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される[Microsoft]
[MS04-028] Producer for Microsoft Office PowerPoint 用の更新プログラム[Microsoft]


Windows PCのJPEGフォーマット処理方法に重大な欠陥[CNET]
WindowsやOfficeなどのマイクロソフト製品にJPEG処理の脆弱性[INTERNET Watch]
MSの月例アップデート、JPEG処理の脆弱性に対応[ITmedia]
GDI+のJPEG処理部分に未チェックバッファの緊急レベルの脆弱性[@IT]
JPEG画像を見たらハッキングされる - WindowsやOfficeなどに脆弱性[MYCOM]

|

« あまり一般的とは言えない逸般向けニュース 9/14 | Pääsivu | Software Update 9/15 »

Kommentit

#表をがしがし作ってたら負けちゃった♪(何w

オフィシャル情報だとちょっと判りにくいんですけど、IE6 SP1もJPEG GDI+ ライブラリの問題、まともに影響受けます。
Win2000/MeでIE6 SP1が入ってる場合には、Windows UpdateにIE6の修正プログラムとしてリストにしっかり載ってました。

しかし今回の MS04-028 パッチは情報が複雑ですねぇ。
「これ一個でおーるおっけー♪」って出来ないのは、初心者集団には厳しいですね。(汗

Kirjoittanut: おざきたくや@雪の精霊.JP | 15.9.2004 klo 11.41

Kommentoi



(Ei näytetä kommentin kanssa.)




Viittaus

Viittausosoite tähän kirjoitukseen:
http://app.cocolog-nifty.com/t/trackback/576/1440182

Alla on listattuna linkki blogeihin, jotka viittaavat kirjoitukseen 月刊Windows Update 9月号:

« あまり一般的とは言えない逸般向けニュース 9/14 | Pääsivu | Software Update 9/15 »