GDI+の脆弱性

(1/1)
2004年(平成16年)10月に発覚した Windows の GDI+ の脆弱性は、Microsoft製品だけでなく、他社製品やフリーソフトにも及ぶ危険性の高いセキュリティホールでした。
このセキュリティホールに対しては、Windows UpdateやOffice Updateだけでは手当てできないため、いまだにホールが残ったままのPCが残っているようです。
一度、職場のPCを点検してみてください。

GDI+の脆弱性とは何か

脆弱性
2004年(平成16年)10月、Microsoftが作成したGDI+プログラム(gdiplus.dll)に、悪意のあるJPEGファイルを表示させたときに任意のコードを実行される脆弱性があると発表されました。
詳細は「JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)」の通りです。
たとえば、悪意のあるコードを埋め込んだ画像をWebページに表示させたり、メールで送ったりすることで、相手のPCはそのコードを実行します。
この脆弱性を突くことでPCの管理者権限を乗っ取れるので、より複雑で悪意のあるプログラムをダウンロードして、あなたのPCのコントロールを完全に奪うこともできるのです。

Microsoftの対応は

そこでMicrosoftは、Windows UpdateやOffice Updateで問題のファイルを更新できるようにしました。
ところが、gdiplus.dll は様々なアプリケーションやフリーソフトによって供給されていたため、Microsoftのパッチを当てるだけでは不十分なのです。
Microsoftでは、どのソフトにこのDLLを組み込んでいるかを把握できないためか、その対応は製品を販売したメーカーに任されています。MicrosoftのJPEG 処理 (GDI+) のセキュリティ更新プログラムでコンピュータを更新する方法では「ファイルの検索から gdiplus.dll を検索し、マイクロソフト以外のアプリケーションで gdiplus.dll を含んでいる製品がありましたら製造元にご確認ください。」と発表しています。
ユーザの立場からすると、自分のパソコンにインストールされているソフトのどれがこの脆弱性の影響を受けるのか、個々のソフトについて自分で調べなければいけないということになるわけです。

UpdateGDI+を使う

しかし、一般ユーザがPCの中の gdiplus.dll を漏れなく検索することは困難です。
そこで、片山誠一氏が、脆弱性のある gdiplus.dll を検出し、置換するフリーソフトウェア UpdateGDI+ を開発しました。 ここからダウンロードできます。なお、このソフトで古い gdiplus.dll を置換するために、新しい gdiplus.dllMicrosoftのサイトからダウンロードしておく必要があります。ただし、新しい gdiplus.dll は上記の 5.1.3102.1360 だけでなく 5.1.3102.1355 もあり、dllのバージョン確認をしているソフトがうまく動かなくなる可能性があります。
いずれにしても、脆弱性のある gdiplus.dll を放置するのは好ましくないので、新しいバージョンで動作しなくなるようなソフトについては、代替ソフトを検討してください。
(この項おわり)
header