ニコンSecurity Updater 2(Windows 用)ソフト ― 2008年11月19日 00時00分00秒
ニコンがSecurity Updater 2(Windows 用)ソフトのダウンロードについて(ニコン)というアナウンスを昨日出したようだ。Security Updater 2(Windows 用)ソフトって何?と思ってみてみると、今年(2008年)9月に出たMS08-052 - 緊急 GDI+ の脆弱性により、リモートでコードが実行される (954593)の脆弱性が、マイクロソフト製品以外の画像を閲覧・処理するソフトにもあって、それのニコン製品対応セキュリティアップデートのようだ。このパッチを当てておかないと、GDI+ の脆弱性を突いた画像ファイルを未パッチのソフトで参照や処理をするとリモートでコードが実行される可能性があるということなのだろう。9月のMicrosoft UpdateをしていればInternet ExplorerやMicrosoft Officeは対策済みのGDI+に置き換えられているが、Microsoft Updateで置き換えられないGDI+を使っている未パッチのNikon ViewやView NXなどで閲覧するとヤラれてしまうということなのだろう。
【重要】
マイクロソフト株式会社から脆弱性に関するセキュリティ問題「マイクロソフト セキュリティ情報 MS08-052 (緊急) GDI+ の脆弱性により、リモートでコードが実行される (954593)」が公表されました。この問題についての詳細は、マイクロソフト株式会社のホームページをご覧ください。 本アップデータソフトを実行することにより、Nikon View、PictureProject、Nikon Transfer、ViewNX、および 画像真正性検証ソフトウェアに含まれる、マイクロソフト株式会社から提供された「GdiPlus.dll」ファイルをアップデートすることにより、脆弱性に関するセキュリティ問題が解消されます。
また、2004年11月30日にダウンロードを開始した Security Updater* にて対応していた、JPEG の脆弱性に関するセキュリティ問題「JPEG 処理 (GDI+) のバッファオーバーランにより、コードが実行される (833987)(MS04-028)」についても、本アップデータソフトにて対応しています。
* Security Updater 2 のダウンロード開始とともに Security Updater の提供は終了致します。
対象製品は以下のようになっている。該当製品を使っていなくてもインストールしている場合はSecurity Updater 2(Windows 用)ソフトを当てるべきだろう。
本アップデータソフトは、下記の対象ソフトウェアにインストールされている「GdiPlus.dll」を更新するソフトウェアです。
- Nikon Transfer Ver.1.0.0 ~ Nikon Transfer Ver.1.1.1
- ViewNX Ver.1.0.0 ~ ViewNX Ver.1.2.0
- 画像真正性検証ソフトウェア Ver.1.1.0
- PictureProject Ver.1.0.0 ~ PictureProject Ver.1.7.6
- Nikon View 6 Ver.6.1.0 ~ Nikon View 6 Ver.6.2.7
私の場合は、しつこく使い続けているNikon View 6 Ver.6.2.7(最終版)と使っていないがインストールしてあるViewNX Ver.1.2.0(最新版)が対象だった。
PCの中を「GdiPlus.dll」で検索すると、Adobe Photoshop Elements 5.0やEPSON Multi-PrintQuickerやOpenOffice.org 2.4などで古い GdiPlus.dll のままになっていた。これらのベンダーからも対策済みのGdiPlus.dllが出るのだろうか。
OpenOffice.org 2.4についてはアップデートの確認をしてみたら「失敗しました」と出て、OpenOffice.org 2.41日本語版はリンク切れ、OpenOffice.org 2.42は日本語版がないようだ。OpenOffice.org 3.0がリリースされているのだが、GdiPlus.dllが更新されているのかわからなかったし、2.4から3.0に更新するメリットやリスクを判断できなかったのでまだ2.40のままにしてある。
GdiPlus.dllの脆弱性って結構広範囲に影響するもののようだが、各社の対応はどうなっているのだろうか。最新のGdiPlus.dll(バージョン5.1.3102.5581)をたとえばPhotoshop Elements 5.0の古いままのものGdiPlus.dll(バージョン5.1.3102.2180)と勝手に自分で置き換えたらまずいのだろうか。よく分からないので早く各社の対応をお願いしたい。
【追記】
Microsoft GDI+ 検出ツール (KB873374)というのがあるようだ。しかし、これで検出したとしてもユーザーとしてはどうしようもないような気が…。勝手に最新バージョンと置き換えても大丈夫だというのなら、検出されたものをすべて勝手に置き換えるのだが、それは怖い(笑)。
【さらに追記】
どうやら上のGDI+検出ツールは2004年の「JPEG 処理 (GDI+) のバッファオーバーランにより、コードが実行される (833987)(MS04-028)」関連のもので、検出された後のメッセージや対策が2004年当時のままのようだ。「XP SP2は大丈夫です」なんて書いてある。今回のGDI+の脆弱性はWindows XPも「緊急」のレベルで対象なのに。役に立たない情報で済まなかった。
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※投稿には管理者が設定した質問に答える必要があります。