小野寺です 今月は、事前通知からの変更はなく、予定通り、計 4 件 (緊急 4 件)を公開しました。セキュリティ情報 (新規):MS08-052 (GDI+): 再配布可能な画像処理ライブラリである GDI+ (gdiplus.dll) で提供する幾つかの画像処理方法に問題があり対策を施しています。このモジュールが再配布モジュールという性質かつ、これに由来するコードを多くの製品で共有している関係で複数の製品に影響範囲が及んでいます。まず、GDI+ は、Windows XP 以降は、OSの標準モジュールです。Windows 2000では、アプリケーションと共に配布される追加モジュール扱いです。そのため、Windows 2000環境をアプリケーションで、GDI+ を使用する場合は、アプリケーションのフォルダ (%ProgramFiles% 以下) または、システムフォルダ (%systemroot%\system32) に gdiplus.dll がインストールされます。Office 製品ですが、Office製品の中核ライブリの一つに MSO.dll がありますが、ここに GDI+ 由来のコードが入っています。 Office 製品は、文書内などで色々な画像処理を行う必要があり、GDI+ そのままではなく、Office 向けの画像処理機構を持っているわけです。開発製品については、そのほとんどは開発製品じたいは影響を受けません。というのも、開発製品自体は、GDI+ を使っていないためです。しかし、セキュリティ更新プログラムがあるのは、GDI+ を含んだアプリケーションを開発できるように、マージモジュールなどの開発用コンポーネントが製品に付属しているため、それを更新するために更新プログラムを提供しています。さて、最初に述べた通り、GDI+ は、再配布可能なモジュールですので、3rdパーティ製のアプリケーションでも使用し、アプリケーションと共に配布可能です。しかし、GDI+を使用している = 脆弱性があるというわけではありません。今回対策している各画像処理を行っていなければ、影響を受けることはないでしょう。影響があるばあでも、基本的は GDI+ を持たない Windows 2000 環境が注意が必要な環境となります。 Windwos 2000環境では、基本的にそのアプリケーション開発元がセキュリティ更新プログラムを提供する必要があります。 Windows XP 以降については、通常のマナーに従ってSide By Side (WinSxS) を使用しているアプリケーションであれば、Windows の更新を適用する事で影響を受けなくなります。 …
2008年9月のセキュリティリリース Read More »