[友情公告]MS04-028：JPEG 处理时 (GDI+) 的缓冲区溢出可能允许执行代码

残酷天使

本文的目标读者: 使用任何受影响系统、程序以及组件的客户

漏洞的影响:  远程代码执行

最高严重等级: 严重

建议: 用户应立即安装此更新

安全更新替代: 无

注意事项: 如果你已经安装了此公告清单中列举出的任何受影响I的程序或者组件，你应该安装每一个受影响程序或者组件的安全更新。这可能需要安装多个安全更新，更多信息参照 公告FAQ.

受影响组件:

•Microsoft Windows XP and Microsoft Windows XP Service Pack 1 – 下载更新

•Microsoft Windows XP 64-Bit Edition Service Pack 1 – ownload the update

•Microsoft Windows XP 64-Bit Edition Version 2003 – 下载更新

•Microsoft Windows Server™ 2003 – 下载更新

•Microsoft Windows Server 2003 64-Bit Edition – 下载更新

•Microsoft Office XP Service Pack 3 – 下载更新

Microsoft Office XP Service Pack 3 Software:

•Outlook® 2002

•Word 2002

•Excel 2002

•PowerPoint® 2002

•FrontPage® 2002

•Publisher 2002

•Microsoft Office 2003 – 下载更新

Microsoft Office 2003 Software:

•Outlook® 2003

•Word 2003

•Excel 2003

•PowerPoint® 2003

•FrontPage® 2003

•Publisher 2003

•InfoPath™ 2003

•OneNote™ 2003

•Microsoft Project 2002 Service Pack 1 (all versions) – 下载更新

•Microsoft Project 2003 (all versions) – 下载更新

•Microsoft Visio 2002 Service Pack 2 (all versions) – 下载更新

•Microsoft Visio 2003 (all versions) – 下载更新

•Microsoft Visual Studio .NET 2002 – 下载更新

Microsoft Visual Studio .NET 2002 Software:

•Visual Basic .NET Standard 2002

•Visual C# .NET Standard 2002

•Visual C++ .NET Standard 2002

•Microsoft Visual Studio .NET 2003 – 下载更新

Microsoft Visual Studio .NET 2003 Software:

•Visual Basic .NET Standard 2003

•Visual C# .NET Standard 2003

•Visual C++ .NET Standard 2003

•Visual J# .NET Standard 2003

•The Microsoft .NET Framework version 1.0 SDK Service Pack 2 – 下载更新

•Microsoft Picture It!® 2002 (all versions) – 下载更新

•Microsoft Greetings 2002 – 下载更新

•Microsoft Picture It! version 7.0 (all versions) – 下载更新

•Microsoft Digital Image Pro version 7.0 – 下载更新

•Microsoft Picture It! version 9 (all versions, including Picture It! Library) – 下载更新

•Microsoft Digital Image Pro version 9 – 下载更新

•Microsoft Digital Image Suite version 9 – 下载更新

•Microsoft Producer for Microsoft Office PowerPoint (all versions) – 下载更新

•Microsoft Platform SDK Redistributable: GDI+ - 下载更新


Office 用户注意 同时为 Office XP（适用于 Service Pack 2 和 Service Pack 3）和 Office 2003 提供管理更新；有关详细信息，请参见“安全更新信息”部分。 Office 2003 Service Pack 1、Visio 2003 Service Pack 1 和 Project 2003 Service Pack 1 包含受影响组件的更新版本，因此它们不受影响。 已经安装这些 Service Pack 的客户不需要为这些产品安装可用的安全更新。

MSN 9 用户注意 MSN 9 分发 Picture It! Express 版本 9 和 Picture It! 库。 在安装 MSN 9 时，您可以选择安装这些程序。 如果已安装 MSN 9， 只有安装了 Picture It! Express 版本 9 或 Picture It! Library 时， 才需要安装 Picture It! 版本 9 更新。

受影响组件：

•Internet Explorer 6 Service Pack 1 - 下载更新

•The Microsoft .NET Framework version 1.0 Service Pack 2 – 下载更新

•The Microsoft .NET Framework version 1.1 – 下载更新



不受影响的软件：

•Microsoft Windows NT Server 4.0 Service Pack 6a

•Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

•Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 4

•Microsoft Windows XP Service Pack 2

•Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (Me)

•Microsoft Office 2003 Service Pack 1

•Microsoft Office 2000

•Microsoft Visio 2003 Service Pack 1

•Microsoft Visio 2000

•Microsoft Project 2003 Service Pack 1

•Microsoft Project 2000

•Microsoft Digital Image Suite 10, Microsoft Digital Image Pro 10, Picture It! Premium 10



不受影响的组件：

•Internet Explorer 5.01 Service Pack 3 on Windows 2000 Service Pack 3

•Internet Explorer 5.01 Service Pack 4 on Windows 2000 Service Pack 4

•Internet Explorer 5.5 Service Pack 2 on Microsoft Windows Millennium Edition

•The Microsoft .NET Framework version 1.0 Service Pack 3

•The Microsoft .NET Framework version 1.1 Service Pack 1

•The Microsoft .NET Framework version 1.1 Service Pack 1 for Windows Server 2003



微软的安全公告:
http://www.microsoft.com/china/technet/security/bulletin/MS04-028.mspx[/url][url=http://www.microsoft.com/china/technet/security/bulletin/MS04-028.mspx]

摘要：

此更新解决了一个新发现、秘密报告的漏洞。一个缓冲区溢出漏洞存在于处理JPEG图片格式化中，可能在受影响系统上导致远程代码执行。本公告的“漏洞详细资料”部分中对此漏洞进行了说明。


如果用户使用管理权限登录，成功利用此漏洞的攻击者可以完全控制受影响的系统，包括安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户。 那些帐户被配置为拥有较少系统权限的用户比具有管理权限的用户受到的威胁要小。

Microsoft 建议客户应立即安装此更新。

漏洞标识漏洞影响Outlook (Versions 2002 and 2003)Internet Explorer 6 Service Pack 1Windows XP, Windows XP Service Pack 1, Windows Server 2003.NET Framework 1.0, Service Pack 2, .NET Framework 1.1Other Affected Software and Affected Components Listed EarlierJPEG Vulnerability - CAN-2004-0200

Remote Code Execution

Critical

Critical

Critical

Critical

Important

残酷天使

也就是说普通JPEG图片也有可能含有病毒并通过该漏洞攻击你的系统,并且受影响的系统和软件非常广泛.请注意不要随意打开含有附件的邮件和来源不明的网页地址!

JayZ

建议大家立即升级。网络上已经出现了很多JPEG图片恶意代码组合机

xuyuanhong

禁止使用2项服务组件就好了，不用装补丁，反正我不用的，一般用户都是一样，除非你不会优化自己的机器