您现在的位置: 贯通日本 >> 资讯 >> 新闻对照0409 >> 正文
多个微软产品中发现“紧急”级安全漏洞

微软于915日公开了在Windows XPServer 2003Internet ExplorerIE)以及Office等中发现的危险级安全漏洞。用户只要打开包含做过手脚的JPEG文件的Web网页、HTML格式的电子邮件、文件夹或者文档等便有可能执行任意程序。严重度为最恶劣的紧急级。解决办法是利用“Windows Update”“Office升级等安装补丁。所有受影响的软件均需要安装补丁。

  该安全漏洞是在WindowsOffice等的图像处理用程序(Library“GDI+Gdiplus.dll中发现的。GDI+JPEG图像处理例程存在缓存溢出(Buffer Overrun)安全漏洞。因此,当读取做过手脚的JPEG文件时将会发生缓冲区攻击(buffer overflow),以该用户权限执行JPEG文件中嵌入的任意程序。

  由于所有利用GDI+处理JPEG图像的软件都将受到影响,所以可能存在多种攻击方法。如果将做过手脚的JPEG图像贴到Web网页、HTML文件或者Office文档,那么只要打开这些文件便会受害。另外如果将做过手脚过JPEG图像保存在文件夹中,那么只要用Windows资源浏览器选择该文件夹便会受害。

  受该安全漏洞影响的操作系统有Windows XPWindows Server 2003Windows XP SP2不受影响)。受影响的应用软件包括Office XPOffice 2003Visio 20022003Visual Studio .NET 20022003Picture It!系列、IE 6 SP1以及.NET Framework version 1.01.1等。还有其他产品将受到影响,详情请参阅该公司的安全信息。

  解决办法是安装补丁。此次受影响的所有软件及组件都含有存在安全漏洞的GDI+。因此,所有受影响的软件及组件都需要分别安装补丁。例如,安装Office XPWindows XP用户需要分别为Office XPWindows XP安装补丁。

  为每个受影响的软件及组件安装补丁的具体方法请参照图解安全信息MS04-028 : Windows的重要更新。首先用Windows Update安装WindowsIE以及.NET Framework的补丁。然后,Office用户利用“Office升级安装OfficeVisio等的补丁(关于“Office升级的使用方法请参照升级Office ”)。至于不能用Windows UpdateOffice的升级命令安装的补丁(Picture IT!Visual Studio .NET等的补丁)则需要从安全信息网页等下载后安装。

  微软还表示,即使安装所有上述补丁,可能还会有安全漏洞残留。原因是第三方制作的软件也有可能含有GDI+的缘故。如果遇到这种情况,需要向软件的开发商咨询(详细内容请参照微软安全信息(MS04-028):经常提出的问题)。

  微软在公开该安全性信息的同时,还公开了检测GDI+的工具(目前只有英语信息)。可用来检测是否有漏安装补丁的情况。

マイクロソフトは915日,Windows XPServer 2003Internet ExplorerIE),Officeなどに見つかった危険なセキュリティ・ホールを公開した。細工が施されたJPEGファイルを含むWebページやHTMLメール,フォルダ,文書ファイルなどを開くだけで,任意のプログラムを実行させられる恐れがある。深刻度は最悪の「緊急」。対策は,Windows UpdateOffice アップデート」などを利用してパッチを適用すること。影響を受けるソフトウエアすべてにパッチを適用する必要がある。

 今回,WindowsOfficeなどに含まれる画像処理用プログラム(ライブラリ)「GDI+Gdiplus.dll)」にセキュリティ・ホールが見つかった。GDI+JPEG画像処理ルーチンにバッファ・オーバーランのセキュリティ・ホールが存在する。このため,細工が施されたJPEGファイルを読み込むとバッファ・オーバーフローが発生し,JPEGファイルに仕込まれた任意のプログラムをそのユーザーの権限で実行させられる。

 GDI+を使ってJPEG画像を処理するすべてのソフトウエアが影響を受けるので,さまざまな攻撃方法が考えられる。細工を施したJPEG画像をWebページやHTMLファイル,Office文書に貼り込んでおけば,それらを開いただけで被害を受ける。また,細工を施したJPEG画像をあるフォルダに置いておけば,Windowsエクプローラでそのフォルダを指定しただけで被害を受ける。

 影響を受けるOSは,Windows XPWindows Server 2003Windows XP SP2は影響を受けない)。アプリケーションとしては,Office XPOffice 2003Visio 20022003Visual Studio .NET 20022003Picture It! シリーズ,IE 6 SP1.NET Framework version 1.01.1など。これら以外にも影響を受ける製品があるので,詳細は同社のセキュリティ情報を参照してほしい。

 対策はパッチを適用すること。セキュリティ・ホールがあるGDI+は,今回「影響を受けるソフトウエア/コンポーネント」とされた製品すべてに含まれる。このため,「影響を受けるソフトウエア/コンポーネント」のすべてに,それぞれの修正パッチを適用する必要がある。例えば,Office XPをインストールしたWindows XPマシンのユーザーは,Office XPWindows XPのパッチ両方を適用する必要がある。

 影響を受けるソフトウエア/コンポーネントすべてにパッチを適用する具体的な手順は「絵でみるセキュリティ情報 MS04-028 : Windows の重要な更新」に詳しい。まず,Windows Updateを使って,WindowsIE.NET Frameworkのパッチを適用する。その後,Officeユーザーは,Office のアップデート」を利用して,OfficeVisioなどのパッチを適用する(「Officeのアップデート」の使い方は,Office アップデートを行う」を参照)。そして,Windows UpdateOfficeのアップデートで適用できないパッチ(Picture IT!Visual Studio .NETなどのパッチ)は,セキュリティ情報のページなどからダウンロードして適用する。

 なおマイクロソフトでは,これらのパッチをすべて適用しても,セキュリティ・ホールが残っている可能性があるとしている。サードパーティが作成したソフトウエアにGDI+が含まれている場合があるからだ。その場合には,その開発ベンダーに問い合わせる必要がある。

 今回のセキュリティ情報の公開とともに,マイクロソフトではGDI+を検出するツールを公開した(現在は英語情報のみ)。パッチの適用漏れをチェックするために利用できる。

 

新闻录入:贯通日本语    责任编辑:贯通日本语 

发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口

相关文章

微软在日本有多惨?曾一周只卖出一百台,如今只好忍痛降3000
微软打算收购一家日本工作室 以增强团队在亚洲市场的影响力
微软日本试行"做四天休三天"新制度 还发6000元补贴
最高补贴6000元!微软日本员工将上四休三 但别高兴太早
有这么好的事儿?微软日本宣布8月试行三休日制度
日本企业远离996?微软日本员工将上四休三
微软日本员工将上四休三 966的你酸了吗?
日本企业加速远离996!微软日本:每周休三天,并发放补助金
日本微软试行“一周三休”:周五全部停业且带薪休假
日本AI聊天机器人Rinna出道当歌手啦
微软与日本Line合作打造AI艺人 明星饭碗不保?
日本宣布新年号“令和”,忙坏微软
微软创始人热衷找沉船 寻到被击沉77年日本战列舰
索尼在日本提交向下兼容专利 或为PS5运行PS4游戏铺垫
继日本之后,微软小冰开始为中国市场国民虚拟IP带来生命
日本采用新技术筛选鱼苗 解决渔业人手不足问题
拯救世界吧 《光晕》真人化项目再启动
微软或在E3 2018放大招 推JRPG并加强与日本开发商合作
微软或在E3放大招 推JRPG并加强与日本开发商合作
日本推出养颜假 没错,又是别人家的神福利!
Google 计划将日本团队扩大一倍,向微软、亚马逊发起挑战
日本授予智能机器人“居住权”
小冰的忍者团队,她在日本开启了怎样一种商业模式?
专访 | 小冰的忍者团队,她在日本开启了怎样一种商业模式?
百度Wi-Fi翻译机日本首秀 谷歌微软技术专家现场点赞