Het "GDIPlus.DLL JPEG Parsing Engine Buffer Overflow" lek dat Microsoft met haar nieuwste patch, Security Bulletin 28, verholpen heeft, is al een jaar bij de softwaregigant bekend, aldus deze post op de Full-Disclosure mailinglist. Het lek zou op 7 oktober 2003 gemeld zijn. De anonieme nieuwssubmitter die ons dit nieuws bracht denkt dan ook dat meldingen dat er geen exploit code in het wild zijn aangetroffen met een grote korrel zout genomen moeten worden.
Het maandelijkse Microsoft upgrade festijn brengt deze keer updates, Security Bulletin 27 en Security Bulletin 28, voor een groot aantal pakketten dat van de GDI+ programma-interface gebruik maakt. Hierin zit een fout met betrekking tot de verwerking van JPEG bestanden, die tot beveiligingsproblemen kan leiden. Tot de de door het lek aangetaste programma's behoren onder ander Internet Explorer 6 SP1, Office XP, Office 2003, verschillende versies van Visio, Picture It, het .NET framework en meer. Gebruikers van Windows XP en 2003 zouden er voldoende aan moeten hebben om windowsupdate.microsoft.com en office.microsoft.com/officeupdate te bezoeken. Lees er het fijne over op de site van de waarschuwingsdienst.
Gereageerd door LilWiz op :
Lekker traag zijn we weer daar in Redmond...maar een buffer overflow kun je daar als maker geen rekening meehouden?