http://blogs.technet.com/jpsecurity/archive/tags/gdiplus/default.aspxTags: gdiplusen-USCommunityServer 2.1 SP1 (Build: 61025.2)http://blogs.technet.com/jpsecurity/archive/2009/10/14/3286696.aspxWed, 14 Oct 2009 04:15:00 GMTd5e57398-b9ef-4490-9955-07cbb4e4a80d:3286696JSECTEAM0http://blogs.technet.com/jpsecurity/comments/3286696.aspxhttp://blogs.technet.com/jpsecurity/commentrss.aspx?PostID=3286696<P>小野寺です。<BR>10月のワンポイント セキュリティ情報を公開しました。<BR></P> <P>なお、今月より一部内容をリニューアルし、IT管理者向けにセキュリティ更新プログラムの適用優先度に関する情報や回避策など、セキュリティ情報について知りたいポイントをより凝縮してお伝えしています。</P> <P>フルサイズ版、podcast 用は以下のサイトからご覧いただけます。:<BR><A href="http://technet.microsoft.com/ja-jp/dd251169.aspx" mce_href="http://technet.microsoft.com/ja-jp/dd251169.aspx">http://technet.microsoft.com/ja-jp/dd251169.aspx</A></P><img src="http://blogs.technet.com/aggbug.aspx?PostID=3286696" width="1" height="1">セキュリティ情報脆弱性gdiplusGDI+http://blogs.technet.com/jpsecurity/archive/2008/09/10/3121636.aspxTue, 09 Sep 2008 22:25:00 GMTd5e57398-b9ef-4490-9955-07cbb4e4a80d:3121636JSECTEAM1http://blogs.technet.com/jpsecurity/comments/3121636.aspxhttp://blogs.technet.com/jpsecurity/commentrss.aspx?PostID=3121636<P>小野寺です</P> <P>今月は、事前通知からの変更はなく、予定通り、<A class="" href="http://www.microsoft.com/japan/technet/security/bulletin/ms08-Sep.mspx" mce_href="http://www.microsoft.com/japan/technet/security/bulletin/ms08-Sep.mspx">計 4 件 (緊急 4 件)を公開</A>しました。<BR><BR>セキュリティ情報 (新規):<BR><A class="" href="http://www.microsoft.com/japan/technet/security/bulletin/MS08-052.mspx" mce_href="http://www.microsoft.com/japan/technet/security/bulletin/MS08-052.mspx">MS08-052</A> (GDI+): 再配布可能な画像処理ライブラリである GDI+ (gdiplus.dll) で提供する幾つかの画像処理方法に問題があり対策を施しています。このモジュールが再配布モジュールという性質かつ、これに由来するコードを多くの製品で共有している関係で複数の製品に影響範囲が及んでいます。<BR>まず、GDI+ は、Windows XP 以降は、OSの標準モジュールです。Windows 2000では、アプリケーションと共に配布される追加モジュール扱いです。そのため、Windows 2000環境をアプリケーションで、GDI+ を使用する場合は、アプリケーションのフォルダ (%ProgramFiles% 以下) または、システムフォルダ (%systemroot%\system32) に gdiplus.dll がインストールされます。<BR>Office 製品ですが、Office製品の中核ライブリの一つに MSO.dll がありますが、ここに GDI+ 由来のコードが入っています。 Office 製品は、文書内などで色々な画像処理を行う必要があり、GDI+ そのままではなく、Office 向けの画像処理機構を持っているわけです。<BR>開発製品については、そのほとんどは開発製品じたいは影響を受けません。というのも、開発製品自体は、GDI+ を使っていないためです。しかし、セキュリティ更新プログラムがあるのは、GDI+ を含んだアプリケーションを開発できるように、マージモジュールなどの開発用コンポーネントが製品に付属しているため、それを更新するために更新プログラムを提供しています。<BR>さて、最初に述べた通り、GDI+ は、再配布可能なモジュールですので、3rdパーティ製のアプリケーションでも使用し、アプリケーションと共に配布可能です。しかし、GDI+を使用している = 脆弱性があるというわけではありません。今回対策している各画像処理を行っていなければ、影響を受けることはないでしょう。<BR>影響があるばあでも、基本的は GDI+ を持たない Windows 2000 環境が注意が必要な環境となります。 Windwos 2000環境では、基本的にそのアプリケーション開発元がセキュリティ更新プログラムを提供する必要があります。 Windows XP 以降については、通常のマナーに従ってSide By Side (WinSxS) を使用しているアプリケーションであれば、Windows の更新を適用する事で影響を受けなくなります。</P> <P><A class="" href="http://www.microsoft.com/japan/technet/security/bulletin/MS08-053.mspx" mce_href="http://www.microsoft.com/japan/technet/security/bulletin/MS08-053.mspx">MS08-053</A> (Media Encoder): Media Encoder をインストールしている環境が影響をうけます。 Media Encoderと一緒にインストールされる ActiveX コントロールが Web 等から不正に呼び出された場合に脆弱性が悪用される可能性があります。</P> <P><A class="" href="http://www.microsoft.com/japan/technet/security/bulletin/MS08-054.mspx" mce_href="http://www.microsoft.com/japan/technet/security/bulletin/MS08-054.mspx">MS08-054</A> (Media Player): 先月、延期になった更新プログラムです。 Windows Media Player 11 が影響を受けます。といっても通常のオーディオ・ビデオファイルを再生しても問題ありません。Media Server から提供される サーバーサイド再生リスト (SSPL) で配信されるオーディオファイルを処理する場合に影響を受ける可能性があります。</P> <P><A class="" href="http://www.microsoft.com/japan/technet/security/bulletin/MS08-055.mspx" mce_href="http://www.microsoft.com/japan/technet/security/bulletin/MS08-055.mspx">MS08-055</A> (Office): Office 製品や OneNote で、onenote:// プロトコルハンドラを処理した場合に影響を受ける可能性があります。</P> <P><BR><A class="" href="http://www.microsoft.com/japan/security/malwareremove/default.mspx" mce_href="http://www.microsoft.com/japan/security/malwareremove/default.mspx">悪意のあるソフトウェアの削除ツール(MSRT)</A>:<BR>今月は、Win32/Slenfbotに対応しています。このマルウェアは、インスタントメッセージ や USB などのリムーバブル ディスクを介して感染します。感染後は、バックドアとして機能し外部からの完全にコントロールされます。</P> <P><BR>ワンポイントセキュリティ情報:<BR>毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、9/10の午後に以下のサイトで公開を予定しています。<BR><A href="http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx">http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx</A><BR></P><img src="http://blogs.technet.com/aggbug.aspx?PostID=3121636" width="1" height="1">セキュリティ情報脆弱性Windows UpdategdiplusGDI+