Enterprise Watch
最新ニュース

「GDI+」の脆弱性、Windows 2000環境がある企業などで要確認


 マイクロソフトが10日に公開したセキュリティ更新プログラム(修正パッチ)のうち、「GDI+」の画像処理の脆弱性を修正する「MS08-052」に関して、マイクロソフトではWindows 2000環境における確認を呼び掛けている。

 画像処理ライブラリであるGDI+(GDIPlus.dll)は共有モジュールとして使われており、Windows XP以降のWindows OSで標準モジュールとなっているほか、GDI+に由来するコードを含む製品もある。OfficeにはGDI+そのものは含まれないが、そのコードを含むライブラリ「MSO.dll」を持っている。また、Internet ExplorerとDigital Image Suiteの専用モジュールにもGDI+のコードを含んでいるという。このため、MS08-052のパッチは、WindowsやOfficeなど多くの製品が対象となっている。

 さらに、MS08-052では、.NET FrameworkやVisual Studioなどの開発ツールに対してもパッチが用意された。ただし、開発ツール自体に脆弱性が存在するというわけではなく、サードパーティなどがこれらの開発ツールを使ってGDI+の画像処理を使用するアプリケーションを開発した場合、アプリケーションとともにGDI+のモジュールを再配布することがあるためだ。MS08-052のパッチを開発ツールに適用することで、再配布用のGDI+が脆弱性を修正したものに置き換わる。

 ただし、前述のようにGDI+はWindows XP以降で標準モジュールとなったため、アプリケーションとともに再配布されているとすれば、Windows 2000環境向けの古いアプリケーションとなる。そのため、GDI+の画像処理を使うようなWindows 2000アプリケーションを使用している場合は、基本的にこのアプリケーションの開発元から修正パッチの提供を受ける必要があるという。マイクロソフトでは、企業内などではまだWindows 2000環境が使われている例もあるため、このようなアプリケーションが配布されていないか特に注意が必要だとしている。

 なお、Windows XP以降の環境にこのようなアプリケーションが導入されている場合は、OS標準のGDI+と、アプリケーションとともに再配布されたGDI+が存在することになる(本来、Windows XP以降向けにGDI+を再配布するのはライセンス違反だという)。しかし、Windows XP以降では、よほど特殊な設計のアプリケーションでなければ、OS側のGDI+を使う仕組みのため、アプリケーション付属のGDI+が紛れていても脆弱性の影響はないとしている。

 アプリケーション付属のGDI+がPCにインストールされているかどうかは、ファイル名「GDIPlus.dll」で検索することで確認できる。OSのフォルダ内にあれば、OS側の標準モジュールに該当し、Windows用のMS08-052を適用することで修正される。一方、Program Filesフォルダ内に見つかれば、アプリケーション付属のGDI+のため、注意が必要だとしている。



URL
  マイクロソフト株式会社
  http://www.microsoft.com/japan/
  マイクロソフト セキュリティ情報「MS08-052」
  http://www.microsoft.com/japan/technet/security/bulletin/MS08-052.mspx

関連記事
  ・ マイクロソフトが9月の月例パッチ公開、“緊急”4件(2008/09/10)


( 永沢 茂 )
2008/09/10 16:42

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.