Windows HotFix Briefings ALERT：GDI＋のJPEG処理部分に未チェックバッファの緊急レベルの脆弱性（MS04-027～MS04-028）



Windows HotFix Briefings ALERT セキュリティ情報 GDI＋のJPEG処理部分に未チェックバッファの緊急レベルの脆弱性 ―― WindowsやOffice製品など、コンポーネントを利用する広範なソフトウェアに影響あり ―― DA Lab Windowsセキュリティ 2004/09/16

※ 本HotFix Briefingsでは、Windows関連のセキュリティ・ホール（脆弱性）情報についてお知らせします。

　マイクロソフトは、月例の修正プログラム公開日である2004年9月15日、以下の2つ（MS04-027と028）の脆弱性を公表し、修正プログラムの提供を開始した。このうちMS04-028は最も危険度の高い「緊急」レベルで、攻撃者のリモート・コードがログオン・ユーザー権限で実行される危険がある。

MS04-028／833987
GDI＋のJPEG処理に未チェック・バッファの脆弱性

最大深刻度	緊急
報告日	2004/09/15
MS Security#	MS04-028
MSKB#	833987
対象環境	Windows XP SP0、SP1／Windows Server 2003／Office XP SP3／Office 2003／Visual Studio .NET 2002／Visual Studio .NET 2003ほか（詳細は本文参照）
再起動	なし（ただしファイルが使用中の場合は再起動が必要）

セキュリティ・ホールの概要と影響度

　グラフィックス処理コンポーネントのGDI＋におけるJPEG画像処理部分に未チェックバッファの脆弱性があり、これを攻撃されると、攻撃者のリモート・コードが現在ログオン中のユーザー権限で実行される危険がある。ユーザーが管理者権限を持っていた場合、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新規のアカウントの作成など、攻撃者によってコンピュータが完全に制御されてしまう深刻なものだ。脆弱性の最大深刻度は最もレベルの高い「緊急」である。

　GDI＋（Gdiplus.dll）は、Windows XP以降のWindows（つまりWindows XPとWindows Server 2003、および.NET Framework）で標準搭載されたグラフィックス・コンポーネントである。従って初期状態では、それ以前のWindows、例えばWindows 98やWindows Me、Windows NT 4.0、Windows 2000などはこの脆弱性の影響は受けない。

　ところがGDI＋コンポーネントは再配布可能で、GDI＋が提供するグラフィックス機能を利用するアプリケーションが、自身とともにGDI＋コンポーネントを再配布している可能性がある。以下に今回の修正プログラムの対象環境を列挙しているが、WindowsだけでなくOfficeやVisual Studio .NET、.NET Frameworkなど、対象が多岐にわたっている理由はここにある。

　Windows XP SP0／SP1、およびWindows Server 2003は無条件に修正プログラムの適用が必要である。Windows XP SP2に付属するGDI+コンポーネントでは、今回の脆弱性は排除されている。しかし前述の理由から、別のソフトウェアとともに脆弱性を含むGDI＋が追加されている可能性がある。この場合にはWindows XP SP2でも修正の適用が必要だ（影響のあるソフトウェアごとに修正プログラムが提供されている）。

　同様にして、Windows 98やMe、Windows NT 4.0、Windows 2000の利用者でも、ほかの関連ソフトウェアをインストールしている場合には、GDI＋コンポーネントがシステムにインストールされており、脆弱性の影響を受ける可能性がある。この場合も適切な修正プログラムの適用が必要である。

■GDI＋を再配布するサードパーティ製ソフトに注意

　マイクロソフト製品に起因するMS04-028の適用の必要性については、Windows Updateやセキュリティ検査ツールのMBSA 1.2（Microsoft Baseline Security Analyzer）を利用できる（ただしマイクロソフトのドキュメントを見るかぎり、完全に頼ることはできないようだ）。マイクロソフトが提供する検出と更新の具体的な方法については、以下のページにまとまっている。

JPEG処理（GDI+）のセキュリティ更新プログラムでコンピュータを更新する方法（マイクロソフト）

　最悪ツールが機能しなかったとしても、マイクロソフト製品については情報が提供されるのでまだよい。問題は、GDI＋を自身で再配布しているサードパーティ製のソフトウェアを利用している場合である。

　「よくある質問」で説明されているとおり、MS04-028の修正プログラムを適用しても、こうしたサードパーティ製ソフトウェアが追加したGDI＋については対処できず、脆弱性が残る危険がある。これらサードパーティ製ソフトウェアは、それぞれ独自にGDI＋をインストールする可能性が高い。システム管理者は、自社で利用しているサードパーティ製ソフトウェアを調査し、各ベンダのサイトなどで情報を収集して、それらのソフトウェアから今回の脆弱性の影響を受けるかどうかを確認し、必要なら個別に対処しなければならない。利用アプリケーションを中央で完全に管理しているならよいが、ユーザーが独自の判断でアプリケーションをインストールできるような環境では、各ユーザーに調査をゆだねることになるだろう。頭の痛い話である。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。

影響を受けるソフトウェア	対象プラットフォーム
Windows XP	Windows XP SP0、SP1
Windows XP 64-Bit Edition	Windows XP 64-Bit Edition SP1、Version 2003
Windows Server 2003	Windows Server 2003
Windows Server 2003 64-Bit Edition	Windows Server 2003 64-Bit Edition
Office XP	Office XP SP3
Office 2003	Office 2003
Office InterConnect Lite	Office InterConnect Lite
Office Home Style+	Office Home Style+
Project 2002	Project 2002 SP1
Project 2003	Project 2003
Visio 2002	Visio 2002 SP2
Visio 2003	Visio 2003
Visual Studio .NET 2002	Visual Studio .NET 2002
Visual Studio .NET 2003	Visual Studio .NET 2003
.NET Framework	.NET Framework V1.0 SDK SP2
Picture It!	デジカメスタジオ Version 2002、Express 2002、デジカメスタジオ Version 2003、Express version 2003、デジカメスタジオ version 9、Picture It! Express version 9
Digital Image Pro	Digital Image Pro version 2003
Digital Image Pro version 9	Digital Image Pro version 9
Microsoft Producer for Microsoft Office PowerPoint	Microsoft Producer for Microsoft Office PowerPoint
Microsoft Platform SDK Redistributable: GDI+	Microsoft Platform SDK Redistributable: GDI+

MS04-027／884933
WordPerfectコンバータの脆弱性により、コードが実行される

最大深刻度	重要
報告日	2004/09/15
MS Security#	MS04-027
MSKB#	884933
対象環境	Office 2000 SP3／Office XP SP3／Works Suite 2001／Works Suite 2002／Works Suite 2003／Works Suite 2004
再起動	なし（ただしファイルが使用中の場合は再起動が必要）

セキュリティ・ホールの概要と影響度

　MS-DOSの時代に米国で広く普及していたワードプロセッサ・ソフト「Word Perfect」用のデータをWord形式に変換するコンバータに脆弱性があり、攻撃者によりリモート・コードが実行される危険がある。ただし攻撃を実行するには、ユーザーに誘導操作を行わせる必要があり、容易には攻撃できないことから最大深刻度は「重要」レベルとなっている。

　この脆弱性を含むコンバータは、Office 2003 SP1より前に提供されたすべてのバージョンのOffice製品にバンドルされている（ただし当該コンポーネントがインストールされるかどうかは、利用する機能による）。対象となるユーザーは、修正プログラムの適用が必要だ。なお今回のMS04-027の修正プログラムは、やはりWordPerfectコンバータ用の修正として公開されたMS03-036（WordPerfect コンバータのバッファオーバーランにより、コードが実行される）を置き換える。

対象プラットフォーム

影響を受けるソフトウェア	対象プラットフォーム
Office 2000	Office 2000 SP3
Office XP	SP3
Office 2003	SP0（SP1は対象外）
Works Suite	Works Suite 2001、2002、2003、2004