(引用記事) マイクロソフトセキュリティアドバイザリ (2490606): Graphics Rendering Engine の脆弱性により、リモートでコードが実行される

CVE-2010-3970。不正なサムネイル画像を表示させることによって、リモートから攻撃可。脆弱性は shimgvw.dll に存在する模様。SafeSEH と DEP をバイパス可能らしいです。

マイクロソフト http://www.microsoft.com/japan/technet/security/advisory/2490606.mspx
> マイクロソフトセキュリティアドバイザリ (2490606):
> Graphics Rendering Engine の脆弱性により、リモートでコードが実行される

Windows 7 には影響せず。ワークアラウンドは、shimgvw.dll に ACL 設定を。

XP 32bit:



Echo y| cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /P everyone:N

Vista 32bit:



takeown /f %WINDIR%\SYSTEM32\SHIMGVW.DLL

icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL.TXT

icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /deny everyone:(F)

Vista 64bit:



takeown /f %WINDIR%\SYSTEM32\SHIMGVW.DLL

takeown /f %WINDIR%\SYSWOW64\SHIMGVW.DLL

icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL32.TXT

icacls %WINDIR%\SYSWOW64\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL64.TXT

icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /deny everyone:(F)

icacls %WINDIR%\SYSWOW64\SHIMGVW.DLL /deny everyone:(F)

戻すときには、%TEMP%\SHIMGVW_ACL.TXT が必要ですので、どこかよそに保管しておきましょう。%TEMP% の下に置いておくと、ゴミ掃除されちゃうかもしれません。

shimgvw.dll って Windows Picture and Fax Viewer (画像とFAX ビューア) ですね。メール添付画像をプレビューするとか、ピクチャーフォルダーに画像を保存してピクチャーフォルダーを開くと、即アウトってことでしょうか？

(関連)

SANS Internet Storm Center http://isc.sans.edu/diary.html?storyid=10201
> Microsoft Advisory: Vulnerability in Graphics Rendering Engine

Secunia Advisories http://secunia.com/advisories/42779
> Microsoft Windows Thumbnail Bitmap Parsing Buffer Overflow - Advisories - Community

"Extremely critical" (5/5) 。

(20:30 追記)

インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20110105_418030.html
> Windows Vista/XPに新たな脆弱性、MSがアドバイザリを公開 -INTERNET Watch

いじょうです。

取締役平社員ブログ (ベータ版)

パソコン ( PC ) を安全に使えるような何かごとを徒然と書いてみたいと思います。

(引用記事) マイクロソフトセキュリティアドバイザリ (2490606): Graphics Rendering Engine の脆弱性により、リモートでコードが実行される