小野寺です
今月は、事前通知からの変更はなく、予定通り、計 4 件 (緊急 4 件)を公開しました。
セキュリティ情報 (新規):
MS08-052 (GDI+): 再配布可能な画像処理ライブラリである GDI+ (gdiplus.dll) で提供する幾つかの画像処理方法に問題があり対策を施しています。このモジュールが再配布モジュールという性質かつ、これに由来するコードを多くの製品で共有している関係で複数の製品に影響範囲が及んでいます。
まず、GDI+ は、Windows XP 以降は、OS の標準モジュールです。Windows 2000 では、アプリケーションと共に配布される追加モジュール扱いです。そのため、Windows 2000 環境をアプリケーションで、GDI+ を使用する場合は、アプリケーションのフォルダ (%ProgramFiles% 以下) または、システムフォルダ (%systemroot%\system32) に gdiplus.dll がインストールされます。
Office 製品ですが、Office 製品の中核ライブリの一つに MSO.dll がありますが、ここに GDI+ 由来のコードが入っています。 Office 製品は、文書内などで色々な画像処理を行う必要があり、GDI+ そのままではなく、Office 向けの画像処理機構を持っているわけです。
開発製品については、そのほとんどは開発製品じたいは影響を受けません。というのも、開発製品自体は、GDI+ を使っていないためです。しかし、セキュリティ更新プログラムがあるのは、GDI+ を含んだアプリケーションを開発できるように、マージモジュールなどの開発用コンポーネントが製品に付属しているため、それを更新するために更新プログラムを提供しています。
さて、最初に述べた通り、GDI+ は、再配布可能なモジュールですので、3rd パーティ製のアプリケーションでも使用し、アプリケーションと共に配布可能です。しかし、GDI+を使用している = 脆弱性があるというわけではありません。今回対策している各画像処理を行っていなければ、影響を受けることはないでしょう。
影響があるばあでも、基本的は GDI+ を持たない Windows 2000 環境が注意が必要な環境となります。 Windwos 2000 環境では、基本的にそのアプリケーション開発元がセキュリティ更新プログラムを提供する必要があります。 Windows XP 以降については、通常のマナーに従って Side By Side (WinSxS) を使用しているアプリケーションであれば、Windows の更新を適用する事で影響を受けなくなります。
MS08-053 (Media Encoder): Media Encoder をインストールしている環境が影響をうけます。 Media Encoder と一緒にインストールされる ActiveX コントロールが Web 等から不正に呼び出された場合に脆弱性が悪用される可能性があります。
MS08-054 (Media Player): 先月、延期になった更新プログラムです。 Windows Media Player 11 が影響を受けます。といっても通常のオーディオ・ビデオファイルを再生しても問題ありません。Media Server から提供される サーバーサイド再生リスト (SSPL) で配信されるオーディオファイルを処理する場合に影響を受ける可能性があります。
MS08-055 (Office): Office 製品や OneNote で、onenote:// プロトコルハンドラを処理した場合に影響を受ける可能性があります。
悪意のあるソフトウェアの削除ツール(MSRT):
今月は、Win32/Slenfbot に対応しています。このマルウェアは、インスタントメッセージ や USB などのリムーバブル ディスクを介して感染します。感染後は、バックドアとして機能し外部からの完全にコントロールされます。
ワンポイントセキュリティ情報:
毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、9/10 の午後に以下のサイトで公開を予定しています。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx