Xというユーザが作成されるのか．．．と試そうとしたらWindows2000しかなかった（泣）ということで安全なWindows2000で各画像を見てみた。最初のpoc.jpgはGULF TECHのロゴ。-09222004.ms04-28.shは黒い点。09232004.ms04-28-admin.shのほうは壊れた画像になりました。

標準のJPEGヘッダーって3種類あるみたい(09232004.ms04-28-admin.shより)

"\xFF\xD8\xFF\xE0\x00\x10\x4A\x46\x49\x46\x00\x01\x02\x00\x00\x64\x00\x60\x00\x00"
"\xFF\xEC\x00\x11\x44\x75\x63\x6B\x79\x00\x01\x00\x04\x00\x00\x00\x0A\x00\x00"
"\xFF\xEE\x00\x0E\x41\x64\x6F\x62\x65\x00\x64\xC0\x00\x00\x00\x01"

GDIPLUS.DLLやVGX.DLL (IE)以外にも MSO.DLL (MS Office)についての話もある感じ。

• ms_jpeg.pdf(unital.com)

関連

• Microsoft の JPEG 処理 (GDI+) における悪用(ISSKK)
• JPEGの脆弱性突いたさらに危険なコードが公開(ITmedia)
• 古いバージョンの「gdiplus.dll」を探し出すツールが公開される
• MS04-028 PoCs and Exploits released / UPDATE: Snort Rules(Handler's Diary September 22nd 20049)
• GDI Scanner Released(Handler's Diary September 23rd 2004)
• JPEG exploit toolkit , JPEG Hacktool, GDIScan Tool, In search of the Botnet - Lessons learned(Handler's Diary September 25th 2004)
• MS04-028 な JPEG 画像(B-) の独り言)

EXP

• Windows JPEG GDI+ Overflow Administrator Exploit (MS04-028)(k-otik.com)

スキャンツールなど
GDIPlus Reporting Utilityは要.NET Framework。検索パスなどの設定をテキストで作成する必要があるのはちょっと面倒。NW越しにも対応。GDIPlus.dllのみ対象。GDI Scanはローカル専用だが関連するdllも含めてチェックしてくれると。

• GDIPlus Reporting Utility(dynicity.com)
• GDI Scan(sans.org)