パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

WindowsのGDI+にバッファ オーバーラン脆弱性」記事へのコメント

  • by Anonymous Coward
    IEだけじゃなくてSusieやネスケででも発症するのかな?
    • Re:Windowsすべて? (スコア:4, 参考になる)

      by Yuryu (19524) on 2004年09月16日 10時24分 (#623102) ホームページ
      今回のセキュリティホールは GDI+ のもので
      これを使わない大多数のアプリは影響ありません。

      Susie や Mozilla は、自前のjpeg展開エンジンをもっていますし
      GDI+ を利用していませんので、影響を受けないと思います

      GDI+ には JPEG や PNG のサポートがあり
      これを利用している場合にのみ影響を受けると思われますが
      GDI+ 自体を利用しているアプリが少ないので
      おそらく、そんなに心配することはないかと...
      親コメント
      • Re:Windowsすべて? (スコア:3, 参考になる)

        by Anonymous Coward on 2004年09月16日 10時32分 (#623105)
        >GDI+ 自体を利用しているアプリが少ないので
        >おそらく、そんなに心配することはないかと...
        .NET Framework の描画系。
        VM では GDI+ の引数チェックをしない/できないからごにょごにょ...
        親コメント
        • by Anonymous Coward
          MonoのWindows版もMicrosoft版gdiplus.dll使ってますか? UNIX版で使われているNovell版libgdiplusはCairo [cairographics.org]のラッパーなんですが。
      • Re:Windowsすべて? (スコア:2, 参考になる)

        by Inetpub (20077) on 2004年09月16日 10時55分 (#623117)
        Microsoft製以外のソフトでは以下のものに脆弱性のあるGdiplus.dllを発見しました。

        Macromedia Flash MX2004
        Serious Samurize v1.55

        つかWindowsUpdateを自動適用してるPCが全て起動時のダイヤログで
        停止するので 今、OKボタンを押す作業に追われています。
        親コメント
        • Re:Windowsすべて? (スコア:2, 参考になる)

          by Anonymous Coward on 2004年09月16日 12時17分 (#623170)
          Ulead DVD MovieWriter 3 SE にも発見。
          この様子だと全マシンで「Gdiplus.dll」を探したほうがよさげですね。
          親コメント
          • Re:Windowsすべて? (スコア:1, 参考になる)

            by Anonymous Coward on 2004年09月16日 18時49分 (#623344)
            ウチのマシン(98SE)で検索
            「Gdiplus.dll」5.1.3097.0
                          「2ちゃんねるターボ」orz、・・・外そう
            「Vgx.dll」 5.1.3097.0
                          \Common Files\Microsoft Shared\VGX\
            親コメント
      • Re:Windowsすべて? (スコア:2, 参考になる)

        by Anonymous Coward on 2004年09月16日 13時43分 (#623224)
        WindowsUpdateは済んでるし、と安心してたんだけど一応gdiplus.dllを検索してみた。
        そしたら、.NET配下のディレクトリにあるものは新しいんだけど、system32の下にやたら古い日付のが残ってる…
        さらに、以前必要に迫られてインストールしたVisioViewer配下のディレクトリにも、さらにCommon Files\Microsoft Shared\Inkにも古いものが。

        自社製品分くらい全部洗ってくれ~

        #んで、それぞれを最新のに置き換えて問題ないのだろうか…
        親コメント
        • by Anonymous Coward on 2004年09月16日 16時34分 (#623293)
          .NET配下のディレクトリというのは
          %systemroot%\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.1360_x-ww_24a2ed47
          等でしょうか?

          私の環境では %systemroot% の中を検索してみただけで古いのが3つ見つかりました。
          そのうち2つは %systemroot%\WinSxS\x86_Microsoft.Windows.GdiPlus・・・なのですが、
          %systemroot%\system32\gdiplus.dll が 5.1.3097.0 ・・・

          DLLの検索順とかで大丈夫なのか、かなりヤバイのかどちらなんでしょうか?
          親コメント
          • Re:Windowsすべて? (スコア:2, 参考になる)

            by Anonymous Coward on 2004年09月16日 19時27分 (#623369)
            Full-DisclosureのMLに テスト用のファイル [netsys.com]が流れていました。

            早速 XP SP1(MS04-028適用済み)で試してみると心配していた通り、
            Explorerがクラッシュしました。

            %systemroot%\system32\gdiplus.dll が古いバージョンなのが原因だと思います。
            MS04-028を当てた方で同じような方おられますか?
            親コメント
            • by Anonymous Coward on 2004年09月17日 1時30分 (#623502)
              %systemroot%\system32\gdiplus.dll が古いバージョンのままなのは
              今回の修正がサイド・バイ・サイドのディレクトリやDLLの作成と
              それに関連するレジストリの修正のようですね。

              サイド・バイ・サイドは良く知らないのですが、
              この残っている古いDLLを使用してしまうアプリが無いのか気になります。

              また、少なくとも、関連するDLLをロードしているアプリは再起動しないと
              セキュリティ・ホールを抱えたままになるわけですが
              そういったメッセージって出ませんでしたよね?

              # まぁ、私の場合はここ1週間で3回ほど停電しているので
              # 攻撃が流行る前にリブートしていたでしょうけど (苦笑)
              親コメント
              • by Anonymous Coward on 2004年09月17日 23時01分 (#623892)
                %systemroot%\system32\gdiplus.dll が古いバージョンのままなのは
                本来その位置にgdiplus.dllはあり得ません。サードパーティー製のアプリケーションやPC使用者がMicrosoftの再配布ポリシーに反して導入した可能性があります。

                サイド・バイ・サイドは良く知らないのですが、
                この残っている古いDLLを使用してしまうアプリが無いのか気になります。
                今回の更新では修正済みのgdiplus.dllへのリダイレクトを指示する新しい発行元構成ファイルもインストールされるため、通常「間違って」古いSide-by-Side DLLが使用されることはありません。詳しくは以下の資料をご覧ください。
                共有アセンブリとアプリケーションへのサービスの提供 [microsoft.com]

                また、少なくとも、関連するDLLをロードしているアプリは再起動しないとセキュリティ・ホールを抱えたままになるわけですがそういったメッセージって出ませんでしたよね?
                「メッセージを出さなかった」のは"Microsoft GDI+ 検出ツール" (あるいはWindows Update) のことでしょうか? このツールはMicrosoftの製品についての検出ツールです。サードパーティー製のアプリケーションはサポートしていません。

                また、Windowsのファイルシステムではロード中のDLLの上書きができないため、問題のDLLを使用中のアプリケーションが存在するとDLLを更新できません。
                そのため Side-by-Side アセンブリのインストールでは旧バージョンのDLLを上書きするのではなく、バージョンごとに異なるフォルダにインストールを行います。これにより旧DLLを利用中のアプリケーションがあってもSide-by-Sideアセンブリのインストールは正常に終了します。
                しかし、古いDLLを利用中のアプリケーションが依然実行中の可能性がありますので、Process Explorer [sysinternals.com]でそのようなアプリケーションを検索し、手動でアプリケーションの再起動を行う必要があるでしょう。
                親コメント
              • by Anonymous Coward on 2004年09月18日 1時15分 (#623967)
                今回の更新では修正済みのgdiplus.dllへのリダイレクトを指示する新しい発行元構成ファイルもインストールされるため、通常「間違って」古いSide-by-Side DLLが使用されることはありません。詳しくは以下の資料をご覧ください。 共有アセンブリとアプリケーションへのサービスの提供 [microsoft.com]
                丁寧な解説ありがとうございます。
                Side-by-Sideのしくみについては全くといっていいほど知らないので、
                少しずつ勉強したいと思います。
                そのため Side-by-Side アセンブリのインストールでは旧バージョンのDLLを上書きするのではなく、バージョンごとに異なるフォルダにインストールを行います。これにより旧 DLLを利用中のアプリケーションがあってもSide-by-Sideアセンブリのインストールは正常に終了します。
                そして、新しいフォルダにインストールした後、
                Side-by-Side関連のレジストリの修正を行うという理解でよろしいでしょうか?
                しかし、古いDLLを利用中のアプリケーションが依然実行中の可能性がありますので、Process Explorer [sysinternals.com]でそのようなアプリケーションを検索し、手動でアプリケーションの再起動を行う必要があるでしょう。
                やはりそうですよね。
                3rd party のアプリまでとはいいませんが、このDLLをロードする自社製アプリについては
                インストーラでチェックして警告を出して欲しいと思いました。
                アップデートしたと安心していて、立ち上げたままのアプリが攻撃される可能性がありますよね。
                ExplorerもこのDLLをロードしますし、ログオフせずにサスペンドやスリープにしている人も結構いそうです。
                親コメント
      • by pnp0a03_pc (7186) on 2004年09月16日 10時46分 (#623111) 日記
        Program Filesの下でgdiplus.dll探したら一つありました。

        確かGDI+ってgdiplus.dllを製品に含めた再配布が可能だったと思うのですが、このようにディレクトリ別に置いてある場合、今回のパッチ当てで脆弱性は解消されるのかしらん。

        親コメント
      • by Anonymous Coward on 2004年09月16日 21時42分 (#623409)
        Mozilla +SVG ビルドガイド
        http://jt.mozilla.gr.jp/projects/svg/build.html
        [mozilla.gr.jp]
        によると、WindowsではSVG テキストと 要素に対応するために、GDI+を使っているようです。

        ご指摘のとおりJpegの展開ではこの影響を受けないでしょうが、もしSVGサポートがデフォルトでONになっていたら、Mozilla もどこかで影響受けていたかもしれません。
        親コメント
      • by Anonymous Coward
        ISV向けの情報がでましたね。
        http://www.microsoft.com/japan/security/bulletins/ishv_faq.mspx
        当分は尾を引きそうですな。

人生unstable -- あるハッカー

処理中...