MS04-028

読み:エムエス・ゼロよん・ゼロにーはち
外語:MS04-028 英語
品詞:固有名詞

gdiplus.dllにある脆弱性の一つ。バージョン5.1.3102.1355以前にセキュリティホールが存在するとされる。

目次

  • サポート技術情報 ‐ 833987
  • 脆弱性識別番号
    • CVE-2007-6026 (msjet40.dllのスタックオーバーフロー脆弱性)
    • CVE-2008-1092 (msjet40.dllのバッファーオーバーフロー)

深刻度は「緊急」とされ、修正パッチが配布された。

具体的にはJPEGの処理に問題があり、バッファーオーバーフローが発生する。このためJPEG画像ファイルに見せかけた悪意あるファイルをダウンロードさせ表示させるだけで、相手のコンピューター上で任意のプログラムを実行できるようになる。

この問題により、見知らぬ実行ファイルを用いることは危険だが、画像の表示程度なら安全だろう、とする従来の概念を覆した。

画像ファイルから悪意あるプログラムが侵入できること、この機能が数多くの製品で使われ延いては数多くの製品にセキュリティホールが存在することから、修正もかなり困難で、大問題となった。

コメントなどを投稿するフォームは、日本語対応時のみ表示されます


KisoDic通信用語の基礎知識検索システム WDIC Explorer Version 7.04a (27-May-2022)
Search System : Copyright © Mirai corporation
Dictionary : Copyright © WDIC Creators club