Microsoft更新祭
岸和田のだんじり祭よりアツいかも。
- WindowsやIE,Officeなど複数のマイクロソフト製品に「緊急」のセキュリティ・ホール @ IT Pro
- マイクロソフト、JPEG処理の脆弱性に対応する「緊急」の修正プログラム @ Enterprise Watch
- 絵でみるセキュリティ情報 MS04-028 @ Microsoft Security
要は、GDI+内のJPEG処理ルーチン内でバッファ・オーバーランが起こる可能性があり、それを突くように細工したJPEGファイルを食わせると、JPEGファイル内に埋め込まれたコードが実行されるとのことらしいです。
影響を受ける製品の数がハンパじゃないです。GDI+はWindowsではごく一般的に使用されるライブラリですから、Microsoft製以外のアプリケーションも個別に確認が必要とのこと。Windows系の開発者の悲鳴が聞こえてきそうです。ぼくも、過去の開発事例のチェックをしておかなければ。