futuremix

9月の Windows Update・Office Update が出ました。

WordPerfect コンバータの脆弱性により、コードが実行される(MS04-027)

Office 2000 SP3、Office XP SP3、Office 2003 などが影響を受けます。Office Update をしないと適用されないので注意。(CAN-2004-0573)

JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される(MS04-028)

JPEG の処理に深刻な脆弱性があり、リモートの細工された JPEG 画像を表示するだけで任意のコードが実行される可能性があります。Windows XP SP1 や、Office XP SP3、Office 2003、Visual Studio .NET 2003 など、影響のあるソフトは多岐にわたります。緊急。CAN-2004-0200

この他に、Internet Explorer の累積パッチが更新されて出てきますが、どうも MS04-028 がらみの更新が入っている模様。

CNET Japan の記事によると、

この欠陥が非常に深刻なことから、一部のセキュリティ専門家らは、この欠陥を悪用するウイルスがまもなく登場すると危惧している。

ということだそうで、この欠陥を悪用したワームの登場が懸念されます。なにしろ IE で画像を表示したり、エクスプローラでプレビューしただけで、悪意のあるコードが実行される可能性があるので。Windows Update をしても、Office Update をしない人は多いと思うので、かなり不安ですね。

GDI+ のチェックツールというのが、Windows Update に出てきますが、これをインストールすると次回起同時に次のようなダイアログボックスが出てきます。この場合はまだ欠陥が残っているので、Office Update など、他のアップデートを行なう必要があります。

Office がインストールされていないなど、問題がない場合は、欠陥がないと表示されます。