Microsoftの各種Windowsのコンポーネントの一つであるGDI+のうち、JPEGファイルの処理にバッファオーバランの脆弱性があり、悪意あるJPEGを表示したりしようとすることによって任意のコードを実行される可能性があるとのことです。またこれを実証するためのJPEGファイルも公開されました。
つい先日リリースされたWindows XP SP2ではこの脆弱性は改修されているのか問題ないということです。また、GDI+を利用しないアプリケーションの場合は該当しないということで、特に問題となるのはMicrosoft製のアプリケーションのようです。しかし、一般のユーザはアプリケーションがどのコンポーネントを使用しているのかなどということは意識していませんし、誰でも簡単に調べられるというものではないので、基本的にセキュリティアップデートで対応することになるでしょう。
Windowsには次から次へとセキュリティホールが見付かっているように見えますが、これはあくまで市場シェアが圧倒的に高いからターゲットになりやすいということと、目立ってニュースになるというだけのことなのでしょうね。Microsoftの技術レベルが特に低いはずもないし、むしろ金にものを言わせてどんどん有能な技術者を招き入れているはずです。それでも社会的な影響はそれだけ大きいということなので、あれだけ儲けているわけなのですから他社以上にセキュリティには重点的に投資して欲しいと思います。