Security Lab

Переполнение буфера в в обработке JPEG изображений в нескольких продуктах Microsoft

Дата публикации:15.09.2004
Всего просмотров:4664
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Internet Explorer 6.x
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Microsoft Office XP
Microsoft Frontpage 2002
Microsoft Office Publisher 2002
Microsoft Outlook 2002
Microsoft Office Project 2002
Microsoft Visual FoxPro 8.x
Microsoft .NET Framework 1.x
Microsoft Visual Studio .NET 2003
Microsoft Visual Studio .NET 2002
Microsoft Visio 2002
Microsoft Visio 2003
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Picture It! 2002
Microsoft Word 2002
Microsoft PowerPoint 2002
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Project 2003
Microsoft Outlook 2003
Microsoft Picture It! 7.x
Microsoft Greetings 2002
Microsoft Digital Image Pro 7.x
Microsoft Digital Image Pro 9.x
Microsoft Picture It! 9.x
Microsoft Digital Image Suite 9.x
Microsoft Producer for Microsoft Office PowerPoint 2003
Уязвимые версии:
* Microsoft Windows XP and Microsoft Windows XP Service Pack 1
* Microsoft Windows XP 64-Bit Edition Service Pack 1
* Microsoft Windows XP 64-Bit Edition Version 2003
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 64-Bit Edition
* Microsoft Office XP Service Pack 3
* Microsoft Office 2003
* Microsoft Project 2002 Service Pack 1 (all versions)
* Microsoft Project 2003 (all versions)
* Microsoft Visio 2002 Service Pack 2 (all versions)
* Microsoft Visio 2003 (all versions)
* Microsoft Visual Studio .NET 2002
* Microsoft Visual Studio .NET 2003
* Microsoft .NET Framework version 1.0 SDK Service Pack 2
* Microsoft Picture It! 2002 (all versions)
* Microsoft Greetings 2002
* Microsoft Picture It! version 7.0 (all versions)
* Microsoft Digital Image Pro version 7.0
* Microsoft Picture It! version 9 (all versions, including Picture It! Library)
* Microsoft Digital Image Pro version 9
* Microsoft Digital Image Suite version 9
* Microsoft Producer for Microsoft Office PowerPoint (all versions)
* Microsoft Platform SDK Redistributable: GDI+
* Internet Explorer 6 Service Pack 1
* Microsoft .NET Framework version 1.0 Service Pack 2
* Microsoft .NET Framework version 1.1

Описание: Уязвимость обнаружена в нескольких продуктах Microsoft в обработке JPEG изображений. Злонамеренный пользователь может скомпрометировать систему пользователя.

Переполнение буфера обнаружено внутри + JPEG Parsing компоненты (Gdiplus.dll). Злонамеренный пользователь может сконструировать специально обработанное jpeg изображение, которое вызовет переполнение буфера при попытке просмотреть это изображение, используя уязвимую компоненту. Уязвимость может использоваться для выполнения произвольного кода на системе пользователя.

URL производителя:http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx

Решение:Установите соответствующее обновление (см. уведомление производителя). Microsoft также выпустила утилиту, которая позволяет определить уязвимую компоненту на системе: http://support.microsoft.com/default.aspx?scid=kb;EN-US;873374

Ссылки: Microsoft GDIPlus.DLL JPEG Parsing Engine Buffer Overflow