公開日:2003.07.26 14:41 最終更新日:2003.12.27 16:10

TRCA-2003-18
Microsoft Windows DirectX MIDI ライブラリに整数オーバーフローの脆弱性

概要


DirectX MIDI ライブラリ quartz.dll が提供する Musical Instrument Digital Interface (MIDI) ファイルのパラメータチェックの機能にはバッファオーバーフローの脆弱性があります。
脆弱性については、遠隔から任意のコードを実行される可能性があります。

影響を受けるシステム
 - Microsoft Windows (Windows 98, 98SE, Me, NT 4.0, NT 4.0 TSE, 2000, XP, Server 2003) システム上で稼働する DirectX
  + Windows 98 の DirectX 5.2
  + Windows 98 SE の DirectX 6.1
  + Windows Me の DirectX 7.1
  + Windows 2000 の DirectX 7.0
  + Windows 98, 98SE, Me または 2000 にインストールされた DirectX 8.0, 8.0a, 8.1, 8.1a, 8.1b
  + Windows XP または Windows Server 2003 の DirectX 8.1
  + Windows 98, 98SE, Me, 2000, XP, Server 2003 にインストールされた DirectX 9.0a
  + Windows Media Player 6.4 または IE 6 Service Pack 1 がインストールされた NT 4.0
  + Windows Media Player 6.4 または IE 6 Service Pack 1 がインストールされた NT 4.0 TSE

時系列イベント


日時 (JST)内容
2003-07-23 (米国日付)Microsoft Security Bulletin MS03-030 Unchecked Buffer in DirectX Could Enable System Compromise (819696) の初版を Web 公開
2003-07-24 マイクロソフト DirectX の未チェックのバッファにより、コンピュータが侵害される (819696) (MS03-030) の初版を Web 公開
2003-07-24 06:53MS メーリングリスト経由で MS03-030 日本語版速報が届く
2003-07-24 07:54MS メーリングリスト経由で MS03-030 英語版が届く
2003-07-24 15:41@Police DirectXの脆弱性について(MS03-030) を Web 公開
#Last-Modified: Thu, 24 Jul 2003 06:41:01 GMT
2003-07-24 20:53MS メーリングリスト経由で MS03-030 日本語版が届く
2003-07-26 04:05First メーリングリスト経由で CA-2003-18 が届く
#Post-Date: Sat, 26 Jul 2003 03:47:31 JST
2003-07-26 05:27CERT メーリングリスト経由で CA-2003-18 が届く
#Post-Date: Sat, 26 Jul 2003 03:56:52 JST
2003-07-28 09:22JPCERT メーリングリスト経由で CA-2003-18 の FYI が届く
#Post-Date: Mon, 28 Jul 2003 09:06:33 JST

参考情報


  1. CERT Advisory CA-2003-18
    Integer Overflows in Microsoft Windows DirectX MIDI Library
  2. Vendor Status Note JVNCA-2003-18
    Microsoft Windows DirectX MIDI ライブラリに整数オーバーフローの脆弱性