В реализации обработки jpg-файлов в многих программных продуктов от небезизвестной корпорации Микрософт обнаружена уязвимость, позволяющая исполнять произвольный код. Для использования уязвимости достаточно загрузить определенным образом составленный jpeg-файл в память практически любым из недавно обновленных/выпущенных программных продуктов Микрософт, умеющих работать с jpeg-файлами. Например открыть в броузере или в одной из программ Микрософт Офис веб-страницу или документ, содержащий такой jpeg-файл. Уязвимы WinXP и WinXP Sp1, MS Win2003 Server, MS Office XP (SP2, SP3), MS Office 2003 и много других програмных продуктов. Уязвимость отсутствует в Win9x, WinNT 4.0 SP6, Win2k (SP3, SP4) и WinXP SP2, хотя установка на любую из этих операционных систем "уязвимого" продукта разумеется тотчас же ее добавит. "Лечить" необходимо каждый программный продукт в отдельности. Можно сравнить эту уязвимость, ее распространение и способы борьбы с ней с аналогичной уязвимостью, имевщей место в opensource libjpeg некоторое время тому назад.
Подробности: http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx
PS. В новости не прошла как оффтопик.
Форум —
General
