Windowsのサムネイル関係で新たな脆弱性が存在してMicrosoftがアドバイザリを出しています。

米Microsoftは1月4日、Windowsに新たな脆弱性が見つかったとしてアドバイザリーを公開した。問題を修正するための更新プログラムはまだリリースされていない。
同社によると、脆弱性はWindowsのグラフィックスレンダリングエンジンに存在する。OSはWindows Vista／Server 2003／Windows XPが影響を受ける。一方、Windows 7とWindows Server 2008 R2は影響を受けないという。
攻撃方法としては、細工を施したサムネイル画像をWordファイルやPowerPointファイルに仕込んで電子メールで送りつけたり、ファイル共有などを通じてユーザーに閲覧させたりする手口が考えられる。ユーザーがこれを見てしまうと、攻撃者に任意のコードを実行される恐れがある。

Windowsに新たな脆弱性――不正なサムネイルで悪用の恐れ - ITmedia エンタープライズ

PoCでの発表内容なんだ！！！

The bug was presented as a sort-of "hacker case study" at a recent hacking convention in Korea, and a working exploit was recently added to the freely-available Metaspolit Framework by a developer named jduck.

Zero-day Windows exploit – Microsoft issues advisory – Naked Security

関連URL

• Microsoft releases Security Advisory 2490606 - MSRC - Site Home - TechNet Blogs
• Microsoft Security Advisory (2490606): Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution
• Microsoft Advisory: Vulnerability in Graphics Rendering Engine
• Microsoft Warns Of Image Rendering Vulnerability H" Packet Storm
• Zero-day Windows exploit Microsoft issues advisory | Naked Security
• Windowsに新たな脆弱性――不正なサムネイルで悪用の恐れ - ITmedia エンタープライズ
• First 2011 Windows vulnerability - F-Secure Weblog : News from the Lab
• 新規アドバイザリ 2490606 を公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs
• マイクロソフト セキュリティ アドバイザリ (2490606): Graphics Rendering Engine の脆弱性により、リモートでコードが実行される
• マイクロソフト、Windows描画エンジンの脆弱性を警告 - セキュリティ - ZDNet Japan
• マイクロソフト、Windows描画エンジンの脆弱性を警告 - CNET Japan
• Internet Explorer attacked in Europe – by Firefox! | Naked Security
• Windowsに新たな脆弱性が発覚、Webやファイルを開くだけで被害の恐れ：ニュース
• New year, new exploits: 0-day found in Microsoft Graphical Rendering Engine - Security Labs
• US-CERT Current Activity
• エフセキュアブログ : 2011年初のWindows脆弱性
• WindowsとIEのゼロデイ脆弱性、1月の「定例日」にはパッチ提供されず：ニュース