Microsoft Windows GDI+ の脆弱性の影響について

2008年9月16日改定

2008年9月12日改定

2008年9月11日改定

2008年9月10日作成

マイクロソフトでは、2008年9月10日付けで、

マイクロソフトセキュリティ情報 MS08-052 - 緊急
GDI+ の脆弱性により、リモートでコードが実行される (954593)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-052.mspx

というセキュリティ情報を発表しました。
2008年9月現在販売しているバージョン 6.0のインストール CD に入っている GDI+ (gdiplus.dll) は上記の脆弱性の対象となります。

ASTEC-X では Windows2000 に限って、インストール CD から GDI+ (gdiplus.dll) をインストールするようになっています。一方、Windows 2000 以外の、Windows XP、Windows Vista、Windows Server 2003 については、ASTEC-X が GDI+ のインストールを行うことはありません。
Windows 2000 で ASTEC-X をお使いの方は以下をお読みいただいて、必要があれば対処をお願いいたします

Windows2000 をお使いの場合

緊急度について

ASTEC-X によってインストールされる GDI+ (gdiplus.dll) に関しては、次の二点の理由から、緊急の対処を行う必要はありません

ASTEC-X は gdiplus.dll を Windows のシステムディレクトリではなく、 ASTEC-X のインストールディレクトリへとインストールするため、原則としてこの gdiplus.dll は ASTEC-X しか使いません。
ASTEC-X は gdiplus.dll に対して上記脆弱性の対象となるような処理を行いません。
(画像ファイルを書き出す場合にのみ gdiplus.dll を使い、画像の読み込みや表示には使用しません。)

対処方法

上記のとおり、ASTEC-X の使用においては緊急の対応の必要はありませんが、根本的な対処方法としては次の二通りがあります。

インストールディレクトリにある gdiplus.dll を削除する: 画面の取得機能 (画面イメージのキャプチャー機能) で Jpeg、PNG、GIF、TIFF (つまりBMP 以外)のフォーマットの画像ファイルの書き出しができなくなりますが、画像ファイルの保存を行わない場合や、 BMP 形式の画像ファイルのみを保存する場合には gdiplus.dll を削除しても差し支えありません。
脆弱性問題に対処した gdiplus.dll と置き換える: 上記の、「マイクロソフトセキュリティ情報」のページから、新しいバージョンの gdiplus.dll を含んだセキュリティアップデートパッケージをダウンロードできます。
gdiplus.dll を置き換える具体的な手順を、 GDI+ (gdiplus.dll) の置き換え方というページにまとめましたのでご参考にしてください。

Windows2000 以外の場合

Windows 2000 以外の、Windows XP、Windows Vista、Windows Server 2003では、 ASTEC-X が GDI+ のインストールを行うことはなく、 ASTEC-X は Windows 付属の GDI+ を使用します。
また、ASTEC-X 自身が Windows 付属の GDI+ に対して、上記脆弱性の対象となるような処理を行うことはありません。

その他の情報

GDI+ (Graphic Device Interface Plus) と ASTEC-X の関係について

GDI+ は、Windowsでグラフィックス処理を行う "GDI" を拡張したもので、 Windows XP で採用されました。 ASTEC-X では、キャプチャーした画面イメージを、JPEG、PNG、GIF、TIFF (つまりBMP 以外)のフォーマット形式で保存する際に、 GDI+ の機能を使っています。それ以外には GDI+ の機能は使っていません。また、GDI+ がインストールされていない場合にも、 ASTEC-X の X サーバーとしての機能には問題ありません。

上で述べたとおり、GDI+ は Windows XP 以降の Windows で採用されたもので、 Windows 2000 には標準では GDI+ は含まれていません。そこで、ASTEC-X のインストーラーは、 Windows 2000 に ASTEC-X をインストールする場合に限り、 GDI+ を ASTEC-X のインストールディレクトリにインストールするようにしています。
このような理由から、Windows 2000 以外の、Windows XP、Windows Vista、 Windows Server 2003 には、ASTEC-X が GDI+ をインストールすることはありません。

脆弱性の対象となる GDI+ が含まれている ASTEC-X のパッケージについて

ASTEC-X 6.0 関連

ASTEC-X 6.0のインストール CD-ROM
2008年9月10日まで公開していた「Ver6.0 アップデートキット」
2008年9月10日まで公開していた「Ver6.0 評価版」

なお、2008年9月11日以降に公開している「Ver6.0 評価版」、「Ver6.0 アップデートキット」には GDI+ は含まれていません。
また、「Ver6.0.08 修正パッチ」には、公開当初より GDI+ は含まれていません。

ASTEC-X 5.0 関連

ASTEC-X 5.0のインストール CD-ROM (販売終了)
「Ver5.0 アップデートキット」(公開終了)
「Ver5.0 評価版」(公開終了)

公開中の ASTEC-X 評価版について (2008年9月11日現在)

2008年9月11日に、GDI+ を含まない ASTEC-X 6.0 評価版のパッケージを公開しました。
現在 (2008年9月11日時点) 公開中の評価版パッケージでは、 GDI+ のインストールは行われないため、 Windows 2000 に限り、Jpeg、PNG、GIF、TIFF の各形式で画像ファイルを書き出すことができません。

本ページの改定履歴

2008年9月16日: 「脆弱性の対象となる GDI+ が含まれている ASTEC-X のパッケージについて」を更新しました。
2008年9月12日: GDI+ (gdiplus.dll) の置き換え方のページを公開しました。
2008年9月11日: ・「脆弱性の対象となる GDI+ が含まれている ASTEC-X のパッケージについて」を追加しました。; ・公開している評価版についての情報を追加しました。; ・ページレイアウトの修正、既存項目のタイトル変更や文言の追補をしました。
2008年9月10日: 本ページを公開しました。

【先頭に戻る】

お問合せ先

株式会社アールワークスプロダクト営業部: 〒112-0002; 東京都文京区小石川 1-3-11 イトーピア小石川梅津ビル; 電話: 03-5804-1853, FAX: 03-5804-1854; E-mail: info@astec-x.com

【先頭に戻る】