取締役 平社員 ブログ (ベータ版)

パソコン ( PC ) を安全に使えるような何かごとを徒然と書いてみたいと思います。  

 -無責管理

   当ページ記事により不具合、問題が発生した場合でも責任をもちません。


   情報セキュリティ系勉強会ポータルサイト  

  セキュリティ・キャンプ  (セキュリティ・キャンプ実施協議会)   Firefox ブラウザ無料ダウンロード 



(引用記事) Microsoft Security Advisory (2896666): Vulnerability in Microsoft Graphics Component Could Allow Remote Code Execution

コンピュータ


はいはい、 Fix it します。 GDI+ ですか、そうですか。


問題の Codec と云うかファイル形式は ".TIFF" だそうです。


影響するプロダクトは、「 Windows Vista 」 と 「 Office 2010 以下 」。いずれも 64 bit 版を含みます。


Office 2010 に影響するとなると、かなりの数の Windows 7 や 一部の Windows 8 にも影響しますねぇ。



Microsoft https://technet.microsoft.com/en-us/security/advisory/2896666
> Microsoft Security Advisory (2896666):
> Vulnerability in Microsoft Graphics Component Could Allow Remote Code Execution



Microsoft https://support.microsoft.com/kb/2896666
> Microsoft Security Advisory:
> Vulnerability in Microsoft graphics component could allow remote code execution

※ " Fix it 51004 " で Enable Fix it 。



EMET 4 EMET3 に言及があります。


EMET 3 でも、テンプレートで Office 2010 まで対応出来ていると思います。

※ 少なくとも手元では、Office 14.x 系は防御対象。



さて、具体的なモジュール名が分かりませんが、gdiplus.dll なんでしょうか。


他社製品に同梱されて配布されている可能性 があります。やな感じです。




(関連)

一般社団法人 JPCERT コーディネーションセンター https://www.jpcert.or.jp/at/2013/at130044.html
> 2013年11月 Microsoft Graphics Component の未修正の脆弱性に関する注意喚起




(追記@2013/11/07)

インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20131106_622324.html
> Windows VistaやOffice 2003/2007/2010などに脆弱性、中東でゼロデイ攻撃 -INTERNET Watch


eEye Digital Security http://www.eeye.com/resources/security-center/research/zero-day-tracker/2013/20131105
> Zero-Day Tracker 2013 | eEye Digital Security



(追記@2013/11/09)

InfoWorld http://www.infoworld.com/t/office-software/deciphering-microsoft-security-advisory-2896666-word-zero-day-exploit-230312
> Deciphering Microsoft Security Advisory 2896666 on Word zero-day exploit |
> Office software - InfoWorld

Vista + Office 2007 はアウト。しかし Win 7 + Office 2010 はセーフ、と云うお話し。


SANS Internet Storm Center https://isc.sans.edu/diary/IE+Zero-Day+Vulnerability+Exploiting+msvcrt.dll/16985
> ISC Diary | IE Zero-Day Vulnerability Exploiting msvcrt.dll

※ gdiplus.dll ではなく msvcrt.dll 。しかし Runtime Library には変わりなく。


FireEye http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html
> New IE Zero-Day found in Watering Hole Attack | FireEye Blog

※ 上記 SANS ISC 記事から。


トレンドマイクロ http://blog.trendmicro.co.jp/archives/8086
> Microsoft Graphics Component に存在するゼロデイ脆弱性とは |
> トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)




いじょうです。

    • -