CVE-2010-3970。不正なサムネイル画像を表示させることによって、リモートから攻撃可。脆弱性は shimgvw.dll に存在する模様。SafeSEH と DEP をバイパス可能らしいです。
マイクロソフト http://www.microsoft.com/japan/technet/security/advisory/2490606.mspx
> マイクロソフト セキュリティ アドバイザリ (2490606):
> Graphics Rendering Engine の脆弱性により、リモートでコードが実行される
Windows 7 には影響せず。ワークアラウンドは、shimgvw.dll に ACL 設定を。
XP 32bit:
Echo y| cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /P everyone:N
Vista 32bit:
takeown /f %WINDIR%\SYSTEM32\SHIMGVW.DLL
icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL.TXT
icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /deny everyone:(F)
Vista 64bit:
takeown /f %WINDIR%\SYSTEM32\SHIMGVW.DLL
takeown /f %WINDIR%\SYSWOW64\SHIMGVW.DLL
icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL32.TXT
icacls %WINDIR%\SYSWOW64\SHIMGVW.DLL /save %TEMP%\SHIMGVW_ACL64.TXT
icacls %WINDIR%\SYSTEM32\SHIMGVW.DLL /deny everyone:(F)
icacls %WINDIR%\SYSWOW64\SHIMGVW.DLL /deny everyone:(F)
戻すときには、%TEMP%\SHIMGVW_ACL.TXT が必要ですので、どこかよそに保管しておきましょう。%TEMP% の下に置いておくと、ゴミ掃除されちゃうかもしれません。
shimgvw.dll って Windows Picture and Fax Viewer (画像とFAX ビューア) ですね。メール添付画像をプレビューするとか、ピクチャーフォルダーに画像を保存してピクチャーフォルダーを開くと、即アウトってことでしょうか?
(関連)
SANS Internet Storm Center http://isc.sans.edu/diary.html?storyid=10201
> Microsoft Advisory: Vulnerability in Graphics Rendering Engine
Secunia Advisories http://secunia.com/advisories/42779
> Microsoft Windows Thumbnail Bitmap Parsing Buffer Overflow - Advisories - Community
"Extremely critical" (5/5) 。
(20:30 追記)
インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20110105_418030.html
> Windows Vista/XPに新たな脆弱性、MSがアドバイザリを公開 -INTERNET Watch
いじょうです。
-
- -