【活用ガイド】

JVNDB-2004-000380

Microsoft GDI+ の不正な JPEG ファイルの処理によるバッファオーバーフローの脆弱性

概要

Microsoft の各種製品に実装されている GDI+ (GDI: Graphics Device Interface の拡張バージョン ) には、JPEG イメージファイルの処理に対するチェックが不適切であるため、バッファオーバーフローが発生する脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 9.3 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


マイクロソフト
  • Microsoft .NET Framework version 1.0
  • Microsoft Access 2002 および 2003
  • Microsoft Digital Image Pro version 2003
  • Microsoft Digital Image Pro version 7.0 (英語製品)
  • Microsoft Digital Image Pro version 9
  • Microsoft Digital Image Suite version 9 (英語製品)
  • Microsoft Excel 2002 および 2003
  • Microsoft FrontPage 2002 および 2003
  • Microsoft Greetings 2002 (英語製品)
  • Microsoft InfoPath 2003
  • Microsoft Office 2003 
  • Microsoft Office xp 
  • Microsoft Office Home Style+
  • Microsoft Office InterConnect Lite
  • Microsoft OneNote 2003
  • Microsoft Outlook 2002 および 2003
  • Microsoft Picture It! 2002 (英語製品)
  • Microsoft Picture It! (express) 2002
  • Microsoft Picture It! version 7 (英語製品)
  • Microsoft Picture It! (express) version 2003
  • Microsoft Picture It! version 9 (英語製品)
  • Microsoft Picture It! (express) version 9
  • Microsoft Platform SDK Redistributable: GDI+
  • Microsoft PowerPoint 2002 および 2003
  • Microsoft Producer for Microsoft Office PowerPoint
  • Microsoft Project 2002 および 2003
  • Microsoft Publisher 2002 および 2003
  • Microsoft Visio 2002 および 2003
  • Microsoft Visual Studio .NET 2002 および 2003
  • デジカメスタジオ Version 2002
  • デジカメスタジオ Version 2003
  • デジカメスタジオ version 9
  • Microsoft Windows Server 2003
  • Microsoft Windows Server 2003 (x64) 
  • Microsoft Windows XP sp3 
  • Microsoft Windows XP (x64) 
富士通
  • NetCOBOL Base Edition for .NET
  • NetCOBOL Base Edition 開発パッケージ for .NET
  • NetCOBOL Base Edition クライアント運用パッケージ for .NET
  • NetCOBOL Base Edition サーバ運用パッケージ for .NET
  • NetCOBOL Standard Edition for .NET
  • NetCOBOL Standard Edition 開発パッケージ for .NET
  • NetCOBOL Standard Edition クライアント運用パッケージ for .NET
  • NetCOBOL Standard Edition サーバ運用パッケージ for .NET

想定される影響

Microsoft Windows にログインしたユーザの権限で任意のコードを実行される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

マイクロソフト
  • Microsoft Security Bulletin : MS04-028
  • マイクロソフト セキュリティ情報 : MS04-028
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2004-0200
参考情報

  1. JVN : JVNTA04-260A
  2. National Vulnerability Database (NVD) : CVE-2004-0200
  3. US-CERT Cyber Security Alerts : SA04-258A
  4. US-CERT Vulnerability Note : VU#297462
  5. US-CERT Technical Cyber Security Alert : TA04-260A
  6. Secunia Advisory : SA12528
  7. SecurityFocus : 11173
  8. X-Force セキュリティアラート&アドバイザリ : Microsoft の JPEG 処理 (GDI+) における悪用
  9. Symantec Security Response : Bloodhound.Exploit.13
更新履歴

  • [2007年04月01日]
      掲載

公表日2004/09/14
登録日2007/04/01
最終更新日2007/04/01