Tweet

JPCERT/CCが注意を喚起

Windows、IE、DirectXに深刻度「緊急」の脆弱性

2008/06/11

　JPCERT/CC（有限責任中間法人JPCERTコーディネーションセンター）は6月11日、マイクロソフトが同日提供したセキュリティ情報に注意を喚起した。深刻度が「緊急」のセキュリティ更新プログラムが3件含まれる。

　1つはBluetoothスタックの脆弱性により、リモートからコードが実行されるという問題で、SP2、SP3を含むWindows XPおよびWindows Vistaが影響を受ける。Bluetoothスタックが大量のサービス説明の要求（SDP：Service Description Request）を正しく処理できないため、リモートからコードを実行される脆弱性が存在する。

　2つ目は、Internet Explorerに関するもので、HTMLオブジェクトに対して想定外のメソッドを呼び出した際、メモリの一部が破壊され、それにより任意のコードが実行できるというもの。現在サポート対象となっているバージョン5〜7のすべてで影響を受ける。

　3つ目はDirectX 7〜10に影響する。Windows MJPEGコーデックがAVIまたはASFファイルのMJPEGストリームを処理する方法に、リモートからコードを実行される脆弱性が存在する。MJPEGコーデックは、Windows Media Playerが利用していて、ほとんどのWindows環境に含まれる。AVIやASFファイルといったコンテナには映像のサイズを指定するヘッダがあるが、AVIファイルに含まれる個々のJPEG画像にも、それぞれ画像サイズを指定するヘッダがある。JPEG画像のヘッダが示す値が、AVIファイルのヘッダが示す値よりも大きい場合にヒープオーバーフローが起こる。

　マイクロソフトは同時に深刻度が「重要」なセキュリティ更新を3件、「警告」を1件、公開している。