はいはい、 Fix it します。 GDI+ ですか、そうですか。
問題の Codec と云うかファイル形式は ".TIFF" だそうです。
影響するプロダクトは、「 Windows Vista 」 と 「 Office 2010 以下 」。いずれも 64 bit 版を含みます。
Office 2010 に影響するとなると、かなりの数の Windows 7 や 一部の Windows 8 にも影響しますねぇ。
Microsoft https://technet.microsoft.com/en-us/security/advisory/2896666
> Microsoft Security Advisory (2896666):
> Vulnerability in Microsoft Graphics Component Could Allow Remote Code Execution
Microsoft https://support.microsoft.com/kb/2896666
> Microsoft Security Advisory:
> Vulnerability in Microsoft graphics component could allow remote code execution
※ " Fix it 51004 " で Enable Fix it 。
EMET 3 でも、テンプレートで Office 2010 まで対応出来ていると思います。
※ 少なくとも手元では、Office 14.x 系は防御対象。
さて、具体的なモジュール名が分かりませんが、gdiplus.dll なんでしょうか。
他社製品に同梱されて配布されている可能性 があります。やな感じです。
(関連)
一般社団法人 JPCERT コーディネーションセンター https://www.jpcert.or.jp/at/2013/at130044.html
> 2013年11月 Microsoft Graphics Component の未修正の脆弱性に関する注意喚起
(追記@2013/11/07)
インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20131106_622324.html
> Windows VistaやOffice 2003/2007/2010などに脆弱性、中東でゼロデイ攻撃 -INTERNET Watch
eEye Digital Security http://www.eeye.com/resources/security-center/research/zero-day-tracker/2013/20131105
> Zero-Day Tracker 2013 | eEye Digital Security
(追記@2013/11/09)
InfoWorld http://www.infoworld.com/t/office-software/deciphering-microsoft-security-advisory-2896666-word-zero-day-exploit-230312
> Deciphering Microsoft Security Advisory 2896666 on Word zero-day exploit |
> Office software - InfoWorld
※ Vista + Office 2007 はアウト。しかし Win 7 + Office 2010 はセーフ、と云うお話し。
SANS Internet Storm Center https://isc.sans.edu/diary/IE+Zero-Day+Vulnerability+Exploiting+msvcrt.dll/16985
> ISC Diary | IE Zero-Day Vulnerability Exploiting msvcrt.dll
※ gdiplus.dll ではなく msvcrt.dll 。しかし Runtime Library には変わりなく。
FireEye http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html
> New IE Zero-Day found in Watering Hole Attack | FireEye Blog
※ 上記 SANS ISC 記事から。
トレンドマイクロ http://blog.trendmicro.co.jp/archives/8086
> Microsoft Graphics Component に存在するゼロデイ脆弱性とは |
> トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
いじょうです。
-
- -