微软于9月15日公开了在Windows XP／Server 2003、Internet Explorer（IE）以及Office等中发现的危险级安全漏洞。用户只要打开包含做过手脚的JPEG文件的Web网页、HTML格式的电子邮件、文件夹或者文档等便有可能执行任意程序。严重度为最恶劣的“紧急”级。解决办法是利用“Windows Update”及“Office升级”等安装补丁。所有受影响的软件均需要安装补丁。 　　该安全漏洞是在Windows及Office等的图像处理用程序（Library）“GDI+（Gdiplus.dll）”中发现的。GDI+的JPEG图像处理例程存在缓存溢出（Buffer Overrun）安全漏洞。因此，当读取做过手脚的JPEG文件时将会发生缓冲区攻击（buffer overflow），以该用户权限执行JPEG文件中嵌入的任意程序。 　　由于所有利用GDI+处理JPEG图像的软件都将受到影响，所以可能存在多种攻击方法。如果将做过手脚的JPEG图像贴到Web网页、HTML文件或者Office文档，那么只要打开这些文件便会受害。另外如果将做过手脚过JPEG图像保存在文件夹中，那么只要用Windows资源浏览器选择该文件夹便会受害。 　　受该安全漏洞影响的操作系统有Windows XP／Windows Server 2003（Windows XP SP2不受影响）。受影响的应用软件包括Office XP／Office 2003、Visio 2002／2003、Visual Studio .NET 2002／2003、Picture It!系列、IE 6 SP1以及.NET Framework version 1.0／1.1等。还有其他产品将受到影响，详情请参阅该公司的安全信息。 　　解决办法是安装补丁。此次“受影响的所有软件及组件”都含有存在安全漏洞的GDI+。因此，所有“受影响的软件及组件”都需要分别安装补丁。例如，安装Office XP的Windows XP用户需要分别为Office XP和Windows XP安装补丁。 　　为每个受影响的软件及组件安装补丁的具体方法请参照“图解安全信息MS04-028 : Windows的重要更新”。首先用Windows Update安装Windows、IE以及.NET Framework的补丁。然后，Office用户利用“Office升级”安装Office及Visio等的补丁（关于“Office升级”的使用方法请参照“升级Office ”）。至于不能用Windows Update及Office的升级命令安装的补丁（Picture IT!及Visual Studio .NET等的补丁）则需要从安全信息网页等下载后安装。 　　微软还表示，即使安装所有上述补丁，可能还会有安全漏洞残留。原因是第三方制作的软件也有可能含有GDI+的缘故。如果遇到这种情况，需要向软件的开发商咨询（详细内容请参照“微软安全信息（MS04-028）：经常提出的问题”）。 　　微软在公开该安全性信息的同时，还公开了检测GDI+的工具（目前只有英语信息）。可用来检测是否有漏安装补丁的情况。

マイクロソフトは9月15日，Windows XP／Server 2003やInternet Explorer（IE），Officeなどに見つかった危険なセキュリティ・ホールを公開した。細工が施されたJPEGファイルを含むWebページやHTMLメール，フォルダ，文書ファイルなどを開くだけで，任意のプログラムを実行させられる恐れがある。深刻度は最悪の「緊急」。対策は，「Windows Update」や「Office アップデート」などを利用してパッチを適用すること。影響を受けるソフトウエアすべてにパッチを適用する必要がある。 　今回，WindowsやOfficeなどに含まれる画像処理用プログラム（ライブラリ）「GDI+（Gdiplus.dll）」にセキュリティ・ホールが見つかった。GDI+のJPEG画像処理ルーチンにバッファ・オーバーランのセキュリティ・ホールが存在する。このため，細工が施されたJPEGファイルを読み込むとバッファ・オーバーフローが発生し，JPEGファイルに仕込まれた任意のプログラムをそのユーザーの権限で実行させられる。 　GDI+を使ってJPEG画像を処理するすべてのソフトウエアが影響を受けるので，さまざまな攻撃方法が考えられる。細工を施したJPEG画像をWebページやHTMLファイル，Office文書に貼り込んでおけば，それらを開いただけで被害を受ける。また，細工を施したJPEG画像をあるフォルダに置いておけば，Windowsエクプローラでそのフォルダを指定しただけで被害を受ける。 　影響を受けるOSは，Windows XP／Windows Server 2003（Windows XP SP2は影響を受けない）。アプリケーションとしては，Office XP／Office 2003，Visio 2002／2003，Visual Studio .NET 2002／2003，Picture It! シリーズ，IE 6 SP1，.NET Framework version 1.0／1.1など。これら以外にも影響を受ける製品があるので，詳細は同社のセキュリティ情報を参照してほしい。 　対策はパッチを適用すること。セキュリティ・ホールがあるGDI+は，今回「影響を受けるソフトウエア／コンポーネント」とされた製品すべてに含まれる。このため，「影響を受けるソフトウエア／コンポーネント」のすべてに，それぞれの修正パッチを適用する必要がある。例えば，Office XPをインストールしたWindows XPマシンのユーザーは，Office XPとWindows XPのパッチ両方を適用する必要がある。 　影響を受けるソフトウエア／コンポーネントすべてにパッチを適用する具体的な手順は「絵でみるセキュリティ情報 MS04-028 : Windows の重要な更新」に詳しい。まず，Windows Updateを使って，WindowsやIE，.NET Frameworkのパッチを適用する。その後，Officeユーザーは，「Office のアップデート」を利用して，OfficeやVisioなどのパッチを適用する（「Officeのアップデート」の使い方は，「Office アップデートを行う」を参照）。そして，Windows UpdateやOfficeのアップデートで適用できないパッチ（Picture IT!やVisual Studio .NETなどのパッチ）は，セキュリティ情報のページなどからダウンロードして適用する。 　なおマイクロソフトでは，これらのパッチをすべて適用しても，セキュリティ・ホールが残っている可能性があるとしている。サードパーティが作成したソフトウエアにGDI+が含まれている場合があるからだ。その場合には，その開発ベンダーに問い合わせる必要がある。 　今回のセキュリティ情報の公開とともに，マイクロソフトではGDI+を検出するツールを公開した（現在は英語情報のみ）。パッチの適用漏れをチェックするために利用できる。