 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
「GDI+」の脆弱性、Windows 2000環境がある企業などで要確認 |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
マイクロソフトが10日に公開したセキュリティ更新プログラム(修正パッチ)のうち、「GDI+」の画像処理の脆弱性を修正する「MS08-052」に関して、マイクロソフトではWindows 2000環境における確認を呼び掛けている。 画像処理ライブラリであるGDI+(GDIPlus.dll)は共有モジュールとして使われており、Windows XP以降のWindows OSで標準モジュールとなっているほか、GDI+に由来するコードを含む製品もある。OfficeにはGDI+そのものは含まれないが、そのコードを含むライブラリ「MSO.dll」を持っている。また、Internet ExplorerとDigital Image Suiteの専用モジュールにもGDI+のコードを含んでいるという。このため、MS08-052のパッチは、WindowsやOfficeなど多くの製品が対象となっている。 さらに、MS08-052では、.NET FrameworkやVisual Studioなどの開発ツールに対してもパッチが用意された。ただし、開発ツール自体に脆弱性が存在するというわけではなく、サードパーティなどがこれらの開発ツールを使ってGDI+の画像処理を使用するアプリケーションを開発した場合、アプリケーションとともにGDI+のモジュールを再配布することがあるためだ。MS08-052のパッチを開発ツールに適用することで、再配布用のGDI+が脆弱性を修正したものに置き換わる。 ただし、前述のようにGDI+はWindows XP以降で標準モジュールとなったため、アプリケーションとともに再配布されているとすれば、Windows 2000環境向けの古いアプリケーションとなる。そのため、GDI+の画像処理を使うようなWindows 2000アプリケーションを使用している場合は、基本的にこのアプリケーションの開発元から修正パッチの提供を受ける必要があるという。マイクロソフトでは、企業内などではまだWindows 2000環境が使われている例もあるため、このようなアプリケーションが配布されていないか特に注意が必要だとしている。 なお、Windows XP以降の環境にこのようなアプリケーションが導入されている場合は、OS標準のGDI+と、アプリケーションとともに再配布されたGDI+が存在することになる(本来、Windows XP以降向けにGDI+を再配布するのはライセンス違反だという)。しかし、Windows XP以降では、よほど特殊な設計のアプリケーションでなければ、OS側のGDI+を使う仕組みのため、アプリケーション付属のGDI+が紛れていても脆弱性の影響はないとしている。 アプリケーション付属のGDI+がPCにインストールされているかどうかは、ファイル名「GDIPlus.dll」で検索することで確認できる。OSのフォルダ内にあれば、OS側の標準モジュールに該当し、Windows用のMS08-052を適用することで修正される。一方、Program Filesフォルダ内に見つかれば、アプリケーション付属のGDI+のため、注意が必要だとしている。 関連情報 ■URL マイクロソフト セキュリティ情報「MS08-052」 http://www.microsoft.com/japan/technet/security/bulletin/MS08-052.mspx ■関連記事 ・ マイクロソフトが9月の月例パッチ公開、“緊急”4件(2008/09/10)
( 永沢 茂 )
- ページの先頭へ-
|
