「GDI+」の脆弱性、Windows 2000環境がある企業などで要確認 – INTERNET Watch

マイクロソフトが10日に公開したセキュリティ更新プログラム(修正パッチ)のうち、「GDI+」の画像処理の脆弱性を修正する「MS08-052」に関して、マイクロソフトではWindows 2000環境における確認を呼び掛けている。

 

との事です。GDI+(GDIPlus.dll)はXPからは標準でOSに含まれている為、アプリケーション等はまずこれを利用する為、セキュリティアップデートのみでほぼ問題ないようですが、Windows 2000の場合、OSに標準で含まれるDLLではないため、各アプリケーションが独自にインストールしたりしてこれを利用するため、古いバージョンのGDIPlus.dllをProgram Files等にアプリケーションと共にインストールされそれが利用されている可能性があるので注意が必要との事です。

INTERNET Watchにあるようにエクスプローラーの検索でGDIPlus.dllを検索すれば何処にインストールされているかわかりますので、そんなにはないだろうなーと思ってたらざくざくありましたwww。下が検索結果の画像です。

GDIPlus.dll検索結果

 

表にまとめてみた。 結構ばらばらですね。

ファイル名 バージョン 場所
gdiplus.dll 5.1.3097.0 C:\Hangame\JAPANESE
gdiplus.dll 5.1.3102.1360 C:\Program Files\Common Files\Microsoft Shared\Ink
gdiplus.dll 5.1.3102.1355

C:\Program Files\Common Files\Smart Reading\OCR Library 1.0

gdiplus.dll 5.1.3102.1355 C:\Program Files\goo\RssReader3
gdiplus.dll 5.1.3097.0 C:\Program Files\Macromedia\Dreamweaver MX 2004
gdiplus.dll 5.1.3097.0 C:\Program Files\Macromedia\Fireworks MX 2004
gdiplus.dll 5.1.3097.0 C:\Program Files\OpenOffice.org 2.0\program
gdiplus.dll 5.1.3102.1355 C:\Program Files\Smart Reading\SmartOCR Lite Edition 1.0
gdiplus.dll 5.1.3102.3352 C:\WINNT\Microsoft.NET\Framework\v1.1.4322
gdiplus.dll 5.1.3102.3352 C:\WINNT\Microsoft.NET\Framework\v2.0.50727
gdiplus.dll 5.1.3102.1360 C:\WINNT\system32
GdiPlus.dll 5.2.3790.136 C:\Documents and Settings\ユーザーフォルダ\My Documents\Lunascape4
GdiPlus.dll 5.1.3102.2180 C:\Hangame\JAPANESE\chocotto
GdiPlus.dll 5.1.3102.2180 C:\k1\Soft\■インターネット\ブラウザ\sleipnir\unicode\bin
GdiPlus.dll 5.2.3790.136 C:\k1\道具箱\Lunascape4
GdiPlus.dll 5.2.3790.136 C:\Program Files\Lunascape\Lunascape3 Lite
GdiPlus.dll 5.1.3100.0 C:\Program Files\Macromedia\Flash MX 2004
GdiPlus.dll 5.1.3097.0 C:\Program Files\Macromedia\FreeHand MXa
GdiPlus.dll 5.1.3102.1360 C:\Program Files\名無しの作者さん\Balloo\bin

●マイクロソフト セキュリティ情報 MS08-052 – 緊急 : GDI+ の脆弱性により、リモートでコードが実行される (954593)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-052.mspx

C:\WINNT\system32にあるgdiplus.dllが5.1.3102.1360なのだがこれでいいのかな?ちょっと古めなよう気がする。

上記のセキュリティー情報のページから下記のページに飛んで

WindowsXP-KB957096-x86-ENU.exeをダウンロードして、コマンドプロンプトから/xオプション付きで解凍してその中に含まれるgdiplus.dllはバージョンが5.1.3102.5581です。

●Download details: Platform SDK Redistributable: GDI+
http://www.microsoft.com/downloads/details.aspx?FamilyId=6A63AB9C-DF12-4D41-933C-BE590FEAA05A&displaylang=en

 

バージョン5.1.3102.5581のgdiplus.dllに全部置き換えちゃえば問題ないのではないかと思います。一応バックアップを取るか元の奴をリネームするなどして残して置くのが良いと思います。

Lnascapeで使っているのが5.2.x.xとみょうにバージョンが上がってるのが気になる。めんどくさいので調べないけど。Windows 2003 Serverとか?

そういうわけでWindows 2000な人は注意してください。アップデートできるソフトウェアはアップデート、使わなくなったソフトはアンインストール。使うけどアップデート出来ないものはgdiPlus.dllを削除するなり最新のものに上書きした方がよさそうです。

 

(Visited 195 times, 1 visits today)

タグ :