| 最大深刻度 |
緊急 |
| 報告日 |
2004/09/15 |
| MS Security# |
MS04-028 |
| MSKB# |
833987 |
| 対象環境 |
Windows XP SP0、SP1/Windows Server 2003/Office XP SP3/Office 2003/Visual Studio .NET 2002/Visual Studio .NET 2003ほか(詳細は本文参照) |
|
再起動 |
なし(ただしファイルが使用中の場合は再起動が必要) |
セキュリティ・ホールの概要と影響度
グラフィックス処理コンポーネントのGDI+におけるJPEG画像処理部分に未チェックバッファの脆弱性があり、これを攻撃されると、攻撃者のリモート・コードが現在ログオン中のユーザー権限で実行される危険がある。ユーザーが管理者権限を持っていた場合、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新規のアカウントの作成など、攻撃者によってコンピュータが完全に制御されてしまう深刻なものだ。脆弱性の最大深刻度は最もレベルの高い「緊急」である。
GDI+(Gdiplus.dll)は、Windows XP以降のWindows(つまりWindows XPとWindows Server 2003、および.NET Framework)で標準搭載されたグラフィックス・コンポーネントである。従って初期状態では、それ以前のWindows、例えばWindows 98やWindows Me、Windows NT 4.0、Windows 2000などはこの脆弱性の影響は受けない。
ところがGDI+コンポーネントは再配布可能で、GDI+が提供するグラフィックス機能を利用するアプリケーションが、自身とともにGDI+コンポーネントを再配布している可能性がある。以下に今回の修正プログラムの対象環境を列挙しているが、WindowsだけでなくOfficeやVisual Studio .NET、.NET Frameworkなど、対象が多岐にわたっている理由はここにある。
Windows XP SP0/SP1、およびWindows Server 2003は無条件に修正プログラムの適用が必要である。Windows XP SP2に付属するGDI+コンポーネントでは、今回の脆弱性は排除されている。しかし前述の理由から、別のソフトウェアとともに脆弱性を含むGDI+が追加されている可能性がある。この場合にはWindows XP SP2でも修正の適用が必要だ(影響のあるソフトウェアごとに修正プログラムが提供されている)。
同様にして、Windows 98やMe、Windows NT 4.0、Windows 2000の利用者でも、ほかの関連ソフトウェアをインストールしている場合には、GDI+コンポーネントがシステムにインストールされており、脆弱性の影響を受ける可能性がある。この場合も適切な修正プログラムの適用が必要である。
■GDI+を再配布するサードパーティ製ソフトに注意
マイクロソフト製品に起因するMS04-028の適用の必要性については、Windows Updateやセキュリティ検査ツールのMBSA 1.2(Microsoft Baseline Security Analyzer)を利用できる(ただしマイクロソフトのドキュメントを見るかぎり、完全に頼ることはできないようだ)。マイクロソフトが提供する検出と更新の具体的な方法については、以下のページにまとまっている。
最悪ツールが機能しなかったとしても、マイクロソフト製品については情報が提供されるのでまだよい。問題は、GDI+を自身で再配布しているサードパーティ製のソフトウェアを利用している場合である。
「よくある質問」で説明されているとおり、MS04-028の修正プログラムを適用しても、こうしたサードパーティ製ソフトウェアが追加したGDI+については対処できず、脆弱性が残る危険がある。これらサードパーティ製ソフトウェアは、それぞれ独自にGDI+をインストールする可能性が高い。システム管理者は、自社で利用しているサードパーティ製ソフトウェアを調査し、各ベンダのサイトなどで情報を収集して、それらのソフトウェアから今回の脆弱性の影響を受けるかどうかを確認し、必要なら個別に対処しなければならない。利用アプリケーションを中央で完全に管理しているならよいが、ユーザーが独自の判断でアプリケーションをインストールできるような環境では、各ユーザーに調査をゆだねることになるだろう。頭の痛い話である。
対象プラットフォーム
今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。
| 影響を受けるソフトウェア |
対象プラットフォーム |
| Windows XP |
Windows XP SP0、SP1 |
| Windows XP 64-Bit Edition |
Windows XP 64-Bit Edition SP1、Version 2003 |
| Windows Server 2003 |
Windows Server 2003 |
| Windows Server 2003 64-Bit Edition |
Windows Server 2003 64-Bit Edition |
| Office XP |
Office XP SP3 |
| Office 2003 |
Office 2003 |
| Office InterConnect Lite |
Office InterConnect Lite |
| Office Home Style+ |
Office Home Style+ |
| Project 2002 |
Project 2002 SP1 |
| Project 2003 |
Project 2003 |
| Visio 2002 |
Visio 2002 SP2 |
| Visio 2003 |
Visio 2003 |
| Visual Studio .NET 2002 |
Visual Studio .NET 2002 |
| Visual Studio .NET 2003 |
Visual Studio .NET 2003 |
| .NET Framework |
.NET Framework V1.0 SDK SP2 |
| Picture It! |
デジカメスタジオ Version 2002、Express 2002、デジカメスタジオ Version 2003、Express version 2003、デジカメスタジオ version 9、Picture It! Express version 9 |
| Digital Image Pro |
Digital Image Pro version 2003 |
| Digital Image Pro version 9 |
Digital Image Pro version 9 |
| Microsoft Producer for Microsoft Office PowerPoint |
Microsoft Producer for Microsoft Office PowerPoint |
| Microsoft Platform SDK Redistributable: GDI+ |
Microsoft Platform SDK Redistributable: GDI+ |
|
