2004 年 12 月 14 日(米国日付)に、このセキュリティ情報が更新されたのはなぜですか?
このセキュリティ情報は、この脆弱性を解決するための追加の更新プログラムがリリースされたことをお知らせするために更新されました。
| • | Microsoft .NET Framework バージョン 1.0 Service Pack 2 および Microsoft .NET Framework バージョン 1.1 用の個別のセキュリティ更新プログラムがリリースされました。カスタマ フィードバックに基づき、マイクロソフトは .NET Framework 1.0 Service Pack 3 または .NET Framework 1.1 Service Pack 1 をまだ展開していないお客様向けに個別の更新プログラムを作成しました。しかし、マイクロソフトはお客様に最新のサービス パックをインストールし、この脆弱性および他のセキュリティ関連の問題からコンピュータを保護することを推奨いたします。Microsoft .NET Framework version 1.0 Service Pack 3 または Microsoft .NET Framework version 1.1 Service Pack 1 をインストール済みのお客様は、これらのセキュリティ更新プログラムを適用する必要はありません。 |
| • | Microsoft Visual FoxPro 8.0 向けのセキュリティ更新プログラムがリリースされました。開発者は Microsoft Visual FoxPro 8.0 向けの更新プログラムで、それぞれの開発環境を更新する必要があります。Microsoft Visual FoxPro 8.0 を使用して開発され、この脆弱性の影響を受ける gdiplus.dll ファイルのコピーを含むカスタム ランタイム アプリケーションを配布している開発者は、Microsoft Visual FoxPro 8.0 ランタイム ライブラリ用のセキュリティ更新プログラムを展開するかどうかを判断する必要があります。 |
| • | Windows Messenger 5.0 により、脆弱性の影響を受けるバージョンの gdiplus.dll ファイルのコピーが配布されます。しかし、そのファイルは、既知の攻撃方法または可能性のある攻撃方法の影響を受けず、そのため、この問題による影響はないと考えられます。しかし、このファイルがインストールされている懸念を持つ場合または今後、別の攻撃の方法が発見されることを懸念する場合、Windows Messenger 5.1 にアップグレードすることを推奨いたします。Windows Messenger 5.1 は、gdiplus.dll ファイルの最新バージョンを含み、Windows Messenger の推奨されるバージョンとなります。Windows Messenger 5.1 は、以下の Web サイトからダウンロードすることができます。 |
MS04-028 企業向け更新プログラム スキャン ツールが更新され、Microsoft .NET Framework バージョン 1.0 Service Pack 2 および Microsoft .NET Framework バージョン 1.1 および Microsoft Visual FoxPro 8.0 向けの個別のセキュリティ更新プログラムの検出、展開ができるようになりました。既存のバージョンのこのツールは Microsoft .NET Framework version 1.0 Service Pack 3 および Microsoft .NET Framework version 1.1 Service Pack 1 の検出、展開をサポートしました。現在はスタンド アロンの更新プログラムが利用可能となったため、このツールはサービス パックの更新プログラムのかわりにスタンド アロンの更新プログラムを使用するようにアップデートされました。サービス パックの更新プログラムの方を選ばれるお客様は既存のバージョンのこのツールを引き続き使用する必要があります。Windows Messenger は、既知、または可能性のある攻撃方法の影響は受けないと考えられ、そのためこの更新プログラムには含まれていません。MS04-028 企業向け更新プログラム スキャン ツールの詳細は、マイクロソフト サポート技術情報 886988 をご覧ください。
9 月に提供された Office XP のセキュリティ更新プログラムをインストールしましたが mso.dll のファイルバージョンが古いままでした。何か問題がありますか?
日本時間の 9 月 25 日から 9 月 29 日の間、Office XP 用のクライアント用、および、管理者用のセキュリティ更新プログラムに含まれる mso.dll のファイルバージョンが古いセキュリティ更新プログラムが公開されていました。10 月 12 日 (米国日付) に再リリースされたセキュリティ更新プログラムでは正しいバージョンが提供されており、この更新プログラムを再度適用すると、mso.dll が新しいバージョンに置き換わります。9 月 25 日 から 29 日の間にセキュリティ更新プログラムをインストールした場合、環境によっては mso.dll のファイルバージョンが 10.0.5821.0 になり、この脆弱性の影響が残る場合があります。
環境による影響は次の表のとおりです。
Office XP SP2 に管理者用更新プログラムをインストール | ファイルバージョンが 10.0.5821.0 の mso.dll に置き換わる可能性があります。 |
Office XP SP2 にクライアント用更新プログラムをインストール | セキュリティ更新プログラムがインストールできないため、影響はありません。 |
Office XP SP3 に管理者用更新プログラムをインストール | インストール時にエラーメッセージが表示されるため影響はありません。 |
Office XP SP3 にクライアント用更新プログラムをインストール | インストール時にエラーメッセージが表示されるため影響はありません。 |
なお、Office XP SP3 の環境にインストールした場合に表示されるエラーは次のとおりです。
「このアップデートは適用されているか、すでに適用されているアップデートに含まれています。」
この期間にセキュリティ更新プログラムをインストールした場合、次の手順により mso.dll のファイルバージョンを確認してください。ファイルバージョンが 10.0.5821.0 の場合、再度セキュリティ更新プログラムをインストールすることを推奨します。ファイルの検索方法は次のとおりです。
1. | [スタート] をクリックし、次に [検索] をクリックします。 |
2. | [検索結果] ウィンドウで、[検索コンパニオン] の下の [ファイルとフォルダすべて] をクリックします。 |
3. | [ファイル名のすべてまたは一部] のボックスで、適切なファイル情報の表からファイル名を入力し、次に[検索] をクリックします。 |
4. | ファイルの一覧で、適切なファイル情報の表からファイル名を右クリックし、[プロパティ] をクリックします。
注 : インストールされているオペレーティング システムまたはプログラムのバージョンにより、ファイル情報の表に記載されているファイルで、インストールされないものがある場合もあります。 |
5. | [バージョン] タブで、適切なファイル情報の表に記載されているバージョンと比較し、コンピュータにインストールされているファイルのバージョンを確認します。 |
このセキュリティ情報は、2004 年 10 月 12 日(米国日付)に更新されたのはなぜですか?
マイクロソフト サポート技術情報 833987 には、このセキュリティ更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明されています。 また、サポート技術情報 833987 には、これらの問題に対する推奨される解決策に関する説明も記載されています。 詳細は、マイクロソフト サポート技術情報 833987 をご覧ください。 マイクロソフト セキュリティ情報 MS04-028 のリリース後、マイクロソフトは、Windows XP Service Pack 2 ベースのコンピュータで Office XP、Visio 2002 および Project 2002を使用しているお客様に影響する問題を確認しました。 いくつかのケースではこの問題により、このセキュリティ更新プログラムが一見適切にインストールされたように見え、実際には適切にインストールされていない現象が発生します。 これはこのセキュリティ更新プログラムで使用されるインストーラに関する問題が原因で起こります。 この問題に関するより技術的な詳細、およびインストールの異常終了が発生する場合がある特定の状況については、マイクロソフトサポート技術情報 885876 をご覧ください。注意していただきたいのは、Windows XP Service Pack 2 には、オペレーティング システムによって提供される JPEG 解析エンジンに存在する脆弱性を解決するセキュリティ更新プログラムが既に含まれていますが、これらのアプリケーションを使用する場合、この脆弱性からコンピュータを保護するために、Office XP、Visio 2002、Project 2002 用のセキュリティ更新プログラムを適用する必要があるということです。
マイクロソフトはこの問題に対する調査を行い、Windows XP Service Pack 2 ベースのコンピュータ上でこれらのアプリケーション向けのセキュリティ更新プログラムを確実にインストールするための改訂版のセキュリティ更新プログラムをリリースしました。 これらの改訂版のセキュリティ更新プログラムは、Office アップデートおよびマイクロソフト ダウンロード センターから入手することができます。 これらの更新プログラムのオリジナルのバージョン(2004 年 9 月 15 日リリース) をまだ適用していないお客様は、Office アップデートのサイトにアクセスし、改訂版の更新プログラムをインストールしてください。 これらの更新プログラムのオリジナルのバージョンをまだ適用していない企業のお客様は、このセキュリティ情報の「影響を受けるソフトウェア」に記載されたダウンロードリンクをクリックし、マイクロソフト ダウンロード センターから改訂版の更新プログラムを入手してください。
Office XP、Visio 2002、および Project 2002用の更新プログラムのオリジナルのバージョンを適用済みで、Windows XP Service Pack 2 を使用しているお客様は、以下の方法のいずれかのステップに従うことにより、コンピュータに適切な更新プログラムが適用され、この問題が解消されます。
| • | Windows XP Service Pack 2 を使用し、自動更新を有効に設定したお客様向けに、マイクロソフトは Microsoft Updateより、更新版のインストール パッケージを提供しています。これにより、インストールの問題が解消され、適切なファイルがインストールされます。 Windows XP Service Pack 2 では、自動更新を有効にする設定が推奨されるため、ほとんどの Windows XP Service Pack 2 ユーザーは、それ以外のステップを行う必要はありません。 この更新されたインストールパッケージに関する情報は、マイクロソフト サポート技術情報 885884 をご覧ください。 |
| • | Office アップデートのサイトにアクセスし、改訂版の更新プログラムをインストールしてください。 Office アップデートにより、コンピュータの脆弱性がチェックされ、改訂されたバージョンのインストーラ ソフトウェアが含まれた更新プログラムが適用されます。 |
| • | 企業のお客様は、マイクロソフト ダウンロード センターから改訂版のセキュリティ更新プログラムを入手し、Windows XP Service Pack 2 を実行しているクライアント コンピュータにこれらの更新プログラムを再展開してください。 |
| • | 影響を受けるアプリケーションで、[アプリケーションの自動修正] の機能を使用することができます。 このプロセスにより、この脆弱性からコンピュータを保護するために必要な該当のファイルの適切なバージョンがインストールされます。 |
マイクロソフトは Windows 2000 ベースのコンピュータの Windows Journal Viewer 用の更新プログラムをリリースしました。Windows 2000 ベースのコンピュータの Windows Journal Viewer 用の更新プログラムについての詳細は、下記のよく寄せられる質問をご覧ください。
また、この更新プログラムの一部として、マイクロソフトは MS04-028 企業向け更新プログラム スキャン ツールをリリースいたしました。詳細は、この更新されたバージョンのセキュリティ情報の「よく寄せられる質問」のMS04-028 企業向け更新プログラム スキャン ツールに関する質問をご覧ください。
Windows Journal Viewer 用の更新プログラムが 2004 年 10 月 12 日(米国日付)にリリースされたのはなぜですか?
Windows Journal Viewer を使用すると、Windows XP Tablet PC Edition を実行していないコンピュータをご使用のユーザーが、Tablet PC 上の Windows Journal で作成されたファイルを表示することが可能になります。Windows Journal Viewer はこのセキュリティ情報で説明している問題の影響を受けます。そして Windows XP ベースのコンピュータで使用する場合には、Windows Journal Viewer はオペレーティング システムに提供されている、影響を受けるコンポーネントのバージョンを使用します。 Windows XP および Windows XP Service Pack 1 用の更新プログラムを Windows XP のオペレーティング システムに適用した場合、Windows Journal Viewer はこの問題の影響を受けません。Windows XP Service Pack 2 はこの問題の影響を受けないため、Windows Journal Viewer を Windows XP Service Pack 2 ベースのコンピュータで使用する場合にも、この問題の影響は受けません。マイクロソフトは Windows Journal Viewer をインストールした可能性がある Windows 2000 ベースのコンピュータを保護するため、Windows Journal Viewer 用のセキュリティ更新プログラムをリリースしました。以前にリリースされた Windows 2000 用のすべてのセキュリティ更新プログラムを既にインストールした場合でも、Windows Journal Viewer をインストールした場合、このセキュリティ更新プログラムもインストールすることが重要です。Microsoft Update は Windows Journal Viewer をインストールした Windows 2000 ベースのコンピュータにのみこのセキュリティ更新プログラムを提供します。 Windows XP を使用している場合、または Windows 2000 に Windows Journal Viewer をインストールしていない場合には、このセキュリティ更新プログラムをインストールする必要はありません。このプログラムは Windows Server 2003 上ではサポートされません。しかし Windows Server 2003 にインストールした場合、この脆弱性の影響を受けるコンポーネントのオペレーティング システムのバージョンを使用することになります。このプログラムを Windows Server 2003 で使用している場合には、Windows Server 2003 用のセキュリティ更新プログラムをインストールしてください。
GDI+ とは何ですか?
GDI+ とは、アプリケーションやプログラマに、二次元のベクタ グラフィックス、イメージングおよび文字の描画表現を提供するグラフィックス デバイス インターフェースです。
なぜ、いくつかの影響を受けるプログラムおよびコンポーネントがあるのですか?
Windows XP、Windows XP Service Pack 1 および Windows Server 2003 においては、この問題の影響を受けるバージョンのコンポーネントが、オペレーティング システムに含まれ、提供されています。 これ以前の Windows においては、この脆弱性の影響を受けるコンポーネントは、オペレーティング システムに含まれておりません。 Windows XP 以前の Windows に、本脆弱性の影響を受ける GDI+ 機能を必要とするプログラムをインストールした場合には場合、ほとんどの場合このコンポーネントはインストールされます。 通常であれば、GDI+ 機能を活用するプログラムが Windows XP、Windows XP Service Pack 1 または Windows Server 2003 にインストールされ、影響を受けるコンポーネントが別途インストールされたとしても、そのオペレーティングシステムにより提供されるバージョンを優先的に使用します。
例外的な例としては、Office XP、Visio 2002、Project 2002、Office System 2003、Visio 2003 および Project 2003 が挙げられます。JPEG イメージがすべてのオペレーティングシステムでソフトウェアの開発時の状況と矛盾なく処理されるために、これらのプログラム自身が独自にインストールした GDI+ コンポーネントを使用します。 ここで使用される GDI+ コンポーネントは、これらのプログラムがサポートするすべてのオペレーティング システムにインストールされます。 上記のプログラムをインストールしている場合、これらのプログラム用の更新プログラムを、それぞれインストールする必要があります。 また、Windows XP、Windows XP Service Pack 1 または Windows Server 2003 を使用している場合、これらのオペレーティング システム用の更新プログラムもインストールする必要があります。また、アプリケーション開発者およびサードパーティ製のアプリケーションの例外に関しては、「よく寄せられる質問」をご確認ください。
Windows XP Service Pack 2 を使用しており、さらに、この脆弱性の影響を受けるソフトウェアを使用している場合、何をする必要がありますか?
Windows XP Service Pack 2 には、この脆弱性の影響を受けるバージョンのコンポーネントは本脆弱性の対処が行われています。 しかし、影響を受ける Office、Visio または Project アプリケーションをインストールしている場合、これらのアプリケーション用の更新プログラムをインストールする必要があります。 この脆弱性を解決する最も容易な方法は、Office アップデートにより提供されている更新プログラムをインストールすることです。 影響を受ける Office、Visio または Project アプリケーションのいずれもインストールしていない場合、そのほかのセキュリティ更新プログラムをインストールする必要はありません。この理由は、そのほかの影響を受けるソフトウェアおよび影響を受けるコンポーネントは Windows XP Service Pack 2 で、影響を受けるコンポーネントのオペレーティング システム バージョンを使用しているためです。
しかし、アプリケーション開発者およびサードパーティ製のアプリケーションの例外に関しては、「よく寄せられる質問」をご確認ください。
また、「よく寄せられる質問」の前の質問で説明されているように、オリジナルのバージョンの Office、Visio および Project のセキュリティ更新プログラム (2004 年 9 月 15 日リリース) が適切にインストールされない場合があります。詳細は、マイクロソフト サポート技術情報 833987 をご覧ください。
Windows XP、Windows XP Service Pack 1 または Windows Server 2003 を使用しており、この脆弱性の影響を受けるソフトウェアのいずれかを使用している場合、何をする必要がありますか?
Windows XP、Windows XP Service Pack 1 または Windows Server 2003 は、本脆弱性の影響を受けます。そして、影響を受ける Office、Visio または Project アプリケーションをインストールしている場合も考えられます。この脆弱性を解決する最も容易な方法は Microsoft Update および Office アップデート により提供されている更新プログラムをインストールすることです。 影響を受ける Office、Visio または Project アプリケーションをインストールしていない場合には、Microsoft Update により提供されている更新プログラムをインストールするだけで対策を行うことができます。
アプリケーション開発者およびサードパーティ製のアプリケーションの例外に関しては、「よく寄せられる質問」をご確認ください。
Windows 98、Windows 98 Second Edition (SE)、Windows Millennium Edition (Me)、Windows NT 4.0 または Windows 2000 を使用している場合、何をする必要がありますか?
インストール初期の段階では、これらのオペレーティング システムはこの脆弱性の影響を受けるコンポーネントのバージョンを提供しないため、影響を受けません。 しかし、このセキュリティ情報の「影響を受けるソフトウェア」および「影響を受けるコンポーネント」の欄に記載されているソフトウェアプログラムまたはコンポーネントをインストールしている場合、影響を受けるコンポーネントがオペレーティング システムにインストールされます。
影響を受けるプログラムまたはコンポーネントをインストールしている場合、これらのプログラムまたはコンポーネント用のセキュリティ更新プログラムをインストールする必要があります。 たとえば、Internet Explorer 6 Service Pack 1 および Office XP が Windows 2000 コンピュータにインストールされている場合、Internet Explorer 6 Service Pack 1 用のセキュリティ更新プログラムと Office XP 用のセキュリティ更新プログラムをインストールする必要があります。 影響を受けるプログラムまたはコンポーネントのいずれもインストールしていない場合、何のセキュリティ更新プログラムもインストールする必要はありません。
Internet Explorer 6 Service Pack 1 以前の Internet Explorer のバージョンを使用している場合、この問題の影響を受けますか?
Windows 2000 上の Internet Explorer 5.01 Service Pack 2、Internet Explorer 5.01 Service Pack 3、Internet Explorer 5.01 Service Pack 4 および Windows Me 上の Internet Explorer 5.5 Service Pack 2 の確認が行われ、結果的にこれらは、この脆弱性の影響を受けません。
Service Pack 1 ではない Internet Explorer 6 は、Windows XP、Windows XP Service Pack 1 および Windows Server 2003 を使用している場合のみ、サポートされ、それ以前の Windows ではサポート ライフ サイクルの対象外となります。Windows XP、Windows XP Service Pack 1 および Windows Server 2003 上の Internet Explorer 6 はこの脆弱性の影響を受けるコンポーネントのオペレーティング システム に含まれるものを使用します。 Windows XP、Windows XP Service Pack 1 および Windows Server 2003 オペレーティング システム用の更新プログラムがインストールされると、Internet Explorer 6 のもつ脆弱性は対策されます。 Windows XP Service Pack 2 は 新しいバージョンのモジュールを含み、この問題の影響を受けません。Windows XP、Windows XP Service Pack 1 または Windows Server 2003 を使用しておらず、Internet Explorer 6 Service Pack 1 よりも前の Internet Explorer 6 のバージョンを使用しているお客様は、Internet Explorer 6 Service Pack 1 にアップグレードし、次にこのセキュリティ情報で提供されている Internet Explorer 6 Service Pack 1 用のセキュリティ更新プログラムをインストールすることを推奨します。または Windows XP を使用しているお客様は、Internet Explorer 6 Service Pack 1 をインストールするためには、Windows XP Service Pack 2 にアップグレードして下さい。 Internet Explorer 6 Service Pack 1 をインストールするためには、こちらの Web サイトをご覧下さい。 Internet Explorer のサポート ライフサイクルに関する詳細情報は、マイクロソフト サポート ライフサイクルをご覧下さい。
gdiplus.dll ファイルを再配布するサードパーティ製のアプリケーションを使用している場合、必要なマイクロソフトのセキュリティ更新プログラムをすべてインストールした後でも、この脆弱性の影響を受けますか?
はい。必要となるオペレーティング システム用の更新プログラムおよびこのセキュリティ情報の「影響を受けるソフトウェア」、「影響を受けるコンポーネント」の欄に記載されているプログラムまたはコンポーネント用の更新プログラムをインストールした後でも、この問題の影響を受ける場合があります。
コンピュータに Gdiplus.dll ファイルがインストールされている場合、そのプログラム用の更新プログラムをインストールする必要がある場合があります。このファイルがインストールされるすべてのプログラムは、この問題の影響を受けるわけではありません。その理由は、プログラムは JPEG イメージを処理するために Gdiplus.dll ファイルを使用しない場合もあるためです。サードパーティのアプリケーションが Gdiplus.dll ファイルを使用して JPEG イメージを処理している場合でも、この脆弱性の影響を受けない方法で行われている可能性があります。例えば、アプリケーションで、処理するイメージをユーザーに提供しないで、イメージの処理の前に、さらにイメージを検証される場合、この脆弱性の影響を受けない可能性があります。しかし、プログラムの製造元のみがその事実を把握しています。このようなアプリケーションには、Visual Studio .NET 2002、Visual Studio .NET 2003、またはMicrosoft .NET Framework 1.0 SDK Service Pack 2 を使用して開発されるサードパーティ製のアプリケーションなどがあります。(これらに限定されるわけではありません)
また、Windows XP および Windows Server 2003 では、アプリケーションをセキュリティで保護するその他の方法を利用することができます。これらのオペレーティング システムは、この脆弱性の影響を受けるコンポーネントのオペレーティング システムのバージョンを提供し、中央部でのセキュリティ保護を提供されます。これは、アプリケーションに Gdiplus.dll ファイルのバージョンがインストールされる場合でも、ほとんどのケースにおいて、アプリケーションでは、オペレーティング システムが提供したバージョンが使用されます。Gdiplus.dll のオペレーティング システムのバージョンは、適切なオペレーティング システムの更新プログラムをインストールすると、更新され、ほとんどのアプリケーションがこの脆弱性から保護されます。
しかし、開発者または管理者は、アプリケーションが強制的にオペレーティング システムに含まれたバージョンの Gdiplus.dll ファイルを無視し、その代わりに提供されるバージョンを使用するようにしている場合もあります。アプリケーションの開発者は、コンポーネントのオペレーティング システム バージョンが使用されないようにアプリケーションを設計するいくつかの方法を使用することができます。開発者は、自ら提供したコンポーネントのバージョンを明示的に呼び出すか、またはサイドバイサイドのバイパス機能を使用して、影響を受けるコンポーネントの開発者の提供したバージョンを呼び出す可能性があります。これは、ほとんどの状況下では使用されない可能性があります。しかし、プログラムがこのバイパス機能を使用することが製造元により確認された場合、プログラムの更新されたバージョンについて、サードパーティのアプリケーションの製造元に連絡することを検討する必要がある場合もあります。このようなプログラムを使用しているかどうかを確認するためのステップは、マイクロソフト サポート技術情報 835322 で説明されています。アプリケーションが提供したバージョンのコンポーネントが明示的に呼び出されるかどうかを確認するには、アプリケーションの製造元に問い合わせることを推奨いたします。このような機能を使用するのは、一般的にまれであり、推奨されないことにご注意ください。
また、このような場合、影響を受けるプログラムを使用してイメージを処理する間のみ、この問題の影響を受ける可能性があります。このセキュリティ情報に記載されているオペレーティング システム用の更新プログラムおよび影響を受けるプログラムおよびコンポーネント用の更新プログラムをインストールすると、この脆弱性の悪用のために攻撃者が実行する可能性のある最も一般的な攻撃の方法により攻撃を受ける可能性を低減する手助けとなります。
可能な場合、影響を受けるコンポーネントを手動で更新するのではなく、今回リリースされたセキュリティ更新プログラムをインストールする必要があることにご注意ください。影響を受けるコンポーネントを手動で更新すると、アプリケーションの互換性に問題が生じる可能性があり、これはサポートされません。また、影響を受けるコンポーネントを手動で更新する場合、[アプリケーションの自動修復] の機能では、これらの機能を使用することにより起こる可能性がある脆弱性を防ぐために必要な情報を得ることができません。
開発者が Visual Studio .NET 2002、Visual Studio .NET 2003、the Microsoft .NET Framework 1.0 SDK Service Pack 2 またはアプリケーションを開発するための Microsoft Platform SDK Redistributable: GDI+ を使用している場合、何をする必要がありますか?
これらのプログラムが Windows XP、Windows XP Service Pack 1 または Windows Server 2003 にインストールされている場合、これらはこの脆弱性の影響を受けるコンポーネントのオペレーティング システム バージョンを使用します。 これらのプログラムを Windows XP、Windows XP Service Pack 1 または Windows Server 2003 で使用している場合、セキュリティ更新プログラムのオペレーティング システム バージョンをインストールして下さい。 これらのプログラムをそのほかのオペレーティング システムで使用している場合、これらのプログラム用の更新プログラムをインストールして下さい。
しかし、これらのプログラムを使用して Gdiplus.dll ファイルを配布するアプリケーションを作成している場合、リリースされたオペレーティング システムのセキュリティ更新プログラムをインストールしているか、または Windows XP Service Pack 2 を使用している場合でも、使用している開発ツールに基づき適切なセキュリティ更新プログラムをインストールする必要があります。JPEG 処理に Gdiplus.dll ファイルを使用している場合、Gdiplus.dll ファイルの更新バージョンを使用するようにアプリケーションを更新することを検討する必要があります。しかし、「よく寄せられる質問」の前の質問に記載されているように、ご使用のアプリケーションが直接この問題の影響を受けない場合があります。また、前の質問で説明されたアプリケーションに脆弱性が発生するバイパス機能を使用していないことを確認する必要があります。
あわせて開発者向けサイト および、開発者向け FAQをご覧ください。
必要なセキュリティ更新プログラムを手動で記述し、展開することはできますか?
はい。マイクロソフトは、利用可能なセキュリティ更新プログラムの手動のインストールのサポートのために、マイクロソフト サポート技術情報 885885 をリリースしています。このサイトでは、すべての利用可能なセキュリティ更新プログラムのインストール手順は提供されていませんが、カスタム スクリプトの記述に関するガイドのみを提供しています。
Microsoft .NET Framework 1.0 および Microsoft .NET Framework 1.1 用のセキュリティ更新プログラムがサービスパックで初めに提供されたのはなぜですか?
Microsoft .NET Framework 1.0 Service pack 3 (SP3) および Microsoft .NET Framework 1.1 Service Pack 1 (SP1) がインストール済みの場合、この問題による影響はありません。これらのサービス パックは、このセキュリティ情報の公開前にリリースされたため、この問題に対するセキュリティ更新プログラムおよび、これらのソフトウェア コンポーネントのリリース後に確認された、お客様から報告されたすべての問題に対するその他のセキュリティの変更が含まれています。そのため、Microsoft .NET Framework 1.0 または Microsoft .NET Framework 1.1 のユーザーは、これらのサービス パックをインストールし、この脆弱性に対応するためだけでなく、Microsoft .NET Framework のリリース後に確認された、その他の問題に対するため、セキュリティを向上することを強く推奨いたします。
Microsoft Baseline Security Analyzer (MBSA) を使用して、この更新プログラムが必要であるかどうかを確認することはできますか?
MBSA は、ローカル コンピュータのスキャンで、この更新プログラムが Office XP、Office 2003、Project 2002、Project 2003、Visio 2002 および Visio 2003 の製品に対してのみ必要であるかどうか検出します。MBSA が Office の更新プログラムを検出する方法に関する詳細は、次の Web サイトをご覧ください。MBSA では、オペレーティング システムの更新プログラムが必要なことを示すメッセージが表示されます。しかし、MBSA は、このセキュリティ情報の「影響を受けるソフトウェア」および「影響を受けるコンポーネント」の欄に記載されているプログラムのいくつかの検出を現在サポートしていません。 MBSA が現在検出しないプログラムに関する詳細情報は、マイクロソフト サポート技術情報 306460 をご覧下さい。 このセキュリティ情報の「影響を受けるソフトウェア」および「影響を受けるコンポーネント」の欄に記載されているプログラムをインストールしている場合、必要となる更新プログラムをインストールする必要があるかどうかを手動で確認する必要があることがあります。 たとえば、Internet Explorer 6 Service Pack 1 がインストールされている Windows 2000 または Windows NT 4.0 コンピュータには Internet Explorer 6 Service Pack 1 用のセキュリティ更新プログラムをインストールする必要があります。また、MBSA はこれらの構成で不足している更新プログラムを検出しません。 MBSA は、リモート コンピュータをスキャンするために Office 検出ツールを使用することはできません。MBSA はローカル コンピュータをスキャンする場合にのみ、このツールを使用して、必要なセキュリティ更新プログラムの適用をチェックします。 MBSA に関する詳細は、MBSA よく寄せられる質問をご覧下さい。
注意 : 2004 年 4 月 20 日 (米国日付) 後、MBSA 1.1.1 およびそれ以前のバージョンによって使用される Mssecure.xml ファイルは、新たなセキュリティ情報のデータで更新されていません。 そのため、2004 年 4 月 20 日 (米国日付)以降、MBSA 1.1.1 またはそれ以前のバージョンのデータで行われるスキャンは、正しい結果を出力できません。 MBSA 1.2 は、より正確なセキュリティ更新プログラムの検出が行われ、サポートされる製品もより多いため、すべてのユーザーは、MBSA 1.2 にアップグレードをしてください。 MBSA 1.2 は、MBSA Web サイト からダウンロードすることができます。 MBSA のサポートに関する詳細は、Microsoft Baseline Security Analyzer (MBSA) Version 1.2 Q&A をご覧ください。
Systems Management Server (SMS) を使用して、この更新プログラムが必要であるかどうかを確認することはできますか?
はい。 SMS は、このセキュリティ更新プログラムを検出し、展開する支援をします。SMS により、Gdiplus.dll を検索することができます。このセキュリティ情報に記載されている影響を受けるプログラムおよびコンポーネントは、バージョン 5.1.3102.1355 以前の Gdiplus.dll のすべてのバージョンまたは、この後の質問で、脆弱性の影響を受けるバージョンであると記載されているバージョンに更新プログラムを適用する必要がある場合があります。Gdiplus.dll ファイルがインストールされている可能性のあるアプリケーションに関する詳細は、「gdiplus.dll ファイルを再配布するサードパーティ製のアプリケーションを使用している場合、必要なマイクロソフトのセキュリティ更新プログラムをすべてインストールした後でも、この脆弱性の影響を受けますか?」の質問をご覧ください。
Systems Management Server (SMS) を使用して、更新が必要となるプログラムが適用されていることを確認することはできますか?
はい。 SMS は、この脆弱性の影響を受けるコンポーネントのバージョンをインストールしている影響を受けるプログラムまたは影響を受けるコンポーネントがインストールされているかどうかを検出する手助けとなります。 SMS は Gdiplus.dll ファイルの存在を検索することができます。このセキュリティ情報に記載されている影響を受けるプログラムおよびコンポーネントについて、バージョン 5.1.3102.1355 以前の Gdiplus.dll のすべてのバージョンまたは影響を受けるアプリケーションに使用され、後述で、脆弱性の影響を受けると記載されているバージョンを更新する必要があります。 Gdiplus.dll ファイルをインストールしている可能性のあるそのほかのアプリケーションに関する詳細情報は、このセキュリティ情報の「よく寄せられる質問」の「すべての必要なセキュリティ更新プログラムをインストールした後でも、依然としてこの脆弱性の影響を受ける可能性がありますか?」をご覧下さい。 このセキュリティ情報の「よく寄せられる質問」の前半に、Gdiplus.dll ファイルをインストールしている可能性のあるそのほかのアプリケーションに関する詳細情報が記載されています。
しかし、影響を受けるコンポーネントを手動で更新するのではなく、今回リリースされたセキュリティ更新プログラムをインストールする必要があることにご注意ください。影響を受けるコンポーネントを手動で更新すると、アプリケーションの互換性に問題が生じる可能性があり、これはサポートされません。また、影響を受けるコンポーネントを手動で更新する場合、[アプリケーションの自動修復] の機能では、これらの機能を使用することにより起こる可能性がある脆弱性を防ぐために必要な情報を得ることができません。
Office XP、Visio 2002、Project 2002 および Internet Explorer 6 Service Pack 1 (SP1) のインストールは、影響を受けるコンポーネントの機能をそのほかのファイルと組み合わせます。 Office XP および Project 2002 について、Mso.dll ファイルが存在するかどうかも検索する必要があります。影響を受けるアプリケーションが使用する 10.0.6714.0 より前バージョンの Mso.dll を更新して下さい。Visio 2002 については、Mso.dll ファイルおよび Gdiplus.dll ファイルの存在を検索する必要があります。この理由は、Visio 2002 は、両方のファイルを提供するためです。(Windows XP または Windows Server 2003 は除きます。これらのオペレーティング システムでは Mso.dll ファイルのみを提供します。)Windows XP または Windows Server 2003 オペレーティング システムで実行されていない Internet Explorer 6 Service Pack 1SP1 のインストールについては、Vgx.dll ファイルを検索して下さい。バージョン 6.0.2800.1411 より前の Vgx.dll のすべてのバージョンを更新して下さい。Internet Explorer 6 Service Pack 1 は Windows XP および Windows Server 2003 上の影響を受けるコンポーネントのオペレーティング システム バージョンを使用します。これらのオペレーティング システムの Internet Explorer 6 Service Pack 1 は更新する必要はありません。 これらの .dll ファイルは、このセキュリティ情報の「セキュリティ更新プログラムに関する情報」の欄に記載されています。 SMS の Inventory and Software Distribution (英語情報) の機能を使用して、この更新プログラムを展開することもできます。
Gdiplus.dll ファイルのどのバージョンにより、アプリケーションがこの脆弱性の影響を受ける可能性がありますか?
Gdiplus.dll ファイルがインストールされているかどうかによってアプリケーションがこの問題の影響を受けるかが決定されるわけではありません。「よく寄せられる質問」の前の質問を、この問題の影響を受けるアプリケーションの一部として Gdiplus.dll を使用しているかどうかを確認する手助けとして使用することができます。管理者および開発者が、アプリケーションがこの問題の影響を受ける原因となる Gdiplus.dll ファイルのバージョンを使用しているかどうかを確認する手助けとなる一般的なガイドとして、以下の Gdiplus.dll ファイル情報テーブルを作成しました。
5.1.3102.1355 以前のすべてのバージョン | この脆弱性の影響を受ける | Windows XP, Windows XP Service Pack 1 およびこのファイルを再配布するほとんどのサードパーティ製のアプリケーションを含む |
5.1.3102.1355 | この脆弱性の影響を受けない | このセキュリティ情報にて提供 |
5.1.3102.1360 | この脆弱性の影響を受けない | このセキュリティ情報にて提供 |
5.1.3102.2000 から 5.1.3102.2179 のバージョン | サポート対象外 | これらのバージョンは、Windows XP の初期のバージョンの一部として提供されました。Service Pack 2 Beta リリースはサポート対象外です。Windows XP Service Pack 2 のリリース版にアップグレードする必要があります。これらのバージョンの Gdiplus.dll ファイルは、通常一般にはリリースされていません。 |
5.1.3102.2180 | この脆弱性の影響を受けない | Windows XP Service Pack 2 に同梱されるバージョン |
5.2.3790.0 | この脆弱性の影響を受ける | Windows Server 2003 に同梱されるバージョン |
5.2.3790.136 | この脆弱性の影響を受けない | このセキュリティ情報にて提供 |
6.0.3260.0 | この脆弱性の影響を受ける | Office 2003、Visio 2003、および Project 2003 に同梱されるバージョン |
6.0.3264.0 およびそれ以降のバージョン | この脆弱性の影響を受けない | このセキュリティ情報にて提供 |
マイクロソフトは、企業のお客様が、影響を受ける製品またはコンポーネントを実行しているかを検出し、リリースされたセキュリティ更新プログラムの適用を支援するための MS04-028 企業向け更新プログラムスキャンツールをリリースしました。このツールに関する詳細情報はどこで入手できますか?
この脆弱性の影響を受ける製品およびコンポーネントの数が多数であり MS04-028 の展開は独特な複雑性が伴うため、企業のお客様により多くのサポートを提供する取り組みにおいて、マイクロソフトは、システム管理者がネットワーク上で、このセキュリティ情報の「影響を受けるソフトウェア」および「影響を受けるコンポーネント」の欄に記載されているソフトウェアをスキャンし、適切な MS04-028 の更新プログラムを自動的に適用することができるコンピュータスキャン ツールおよびガイダンスをリリースしました。また、このツールは、マイクロソフトの System Management Server (SMS) と連携して使用することができます。MS04-028 企業向け更新プログラム スキャン ツールに関する詳細は、886988 をご覧ください。このツールは Windows Journal Viewer 用のセキュリティ更新プログラムをサポートします。
マイクロソフトはまた、影響を受ける製品およびコンポーネントを実行しているかどうかを検出する支援をするための GDI+ 検出ツールをリリースしました。このツールに関する詳細はどこで入手できますか?
マイクロソフトは、コンシューマが、コンピュータ上で、このセキュリティ情報の「影響を受けるソフトウェア」および「影響を受けるコンポーネント」の欄に記載されているソフトウェアを実行しているかどうかを検出する支援をする GDI+ 検出ツールを作成しました。このツールは、この脆弱性の影響を受けるバージョンの JPEG 解析 コンポーネントを含む製品をコンピュータで実行しているかどうかを検出する機能を提供します。 マイクロソフトサポート技術情報 873374 で、このツールおよびツールのダウンロード方法について説明しています。このツールは Windows Journal Viewer 用のセキュリティ更新プログラムをサポートするように更新されていません。
GDI+ 検出ツールは何をしますか?
GDI+ 検出ツールは、この脆弱性の影響を受けるコンポーネントを含むとされているオペレーティング システム以外の製品について、コンピュータをスキャンします。 また、このツールは、ツールを実行した方に、この脆弱性を解決するための更新プログラムの適切なダウンロード場所を示します。
GDI+ 検出ツールは、コンピュータがこの脆弱性による危険にさらされるかどうかをユーザーに知らせますか?
いいえ。このツールは、単にコンピュータをスキャンし、この脆弱性の影響を受けるとされているコンポーネントを含む特定のマイクロソフト製品がインストールされているかどうかを検出します。このツールは、これらの製品に既に更新プログラムが適用されているかどうかを検出する機能を提供するものではありません。
Software Update Services (SUS) を使用して企業内でセキュリティ更新プログラムを適用しています。すべてのコンピュータに GDI+ 検出ツールを適用し、使用することは推奨されますか?
SUS を介し、GDI+ 検出ツールを適用することが可能でしたが、その機能は現在削除されています。このツールは、企業環境にて使用するように設計されておらず、サポートされません。
この脆弱性を解決する手助けとして、Microsoft Update はどのようなセキュリティ更新プログラムを提供する予定ですか?
Microsoft Update は Windows XP、Windows XP Service Pack 1 および Windows Server 2003 に必要となるオペレーティング システム用の更新プログラムを提供する予定です。Windows XP Service Pack 2 は、影響を受けるコンポーネントのこの脆弱性の影響を受けるバージョンを含まないため、更新プログラムを必要としません。 Microsoft Update は、Windows 98、Windows 98 SE、Windows ME、Windows NT 4.0 および Windows 2000 オペレーティング システムに対する Internet Explorer 6 Service Pack 1 用のセキュリティ更新プログラムを提供する予定です。Microsoft Update は Windows NT 4.0 および Windows 2000 オペレーティング システムに対する .NET Framework, version 1.0 Service Pack 2 (SP3) および .NET Framework, version 1.1 Service Pack 1 を提供する予定です。Microsoft Update は Windows Journal Viewer をインストールした Windows 2000 ベースのコンピュータにのみ、Windows Journal Viewer 用更新プログラムを提供する予定です。これらのセキュリティ更新プログラムは Windows XP または Windows Server 2003 コンピュータには提供されません。この理由は、これらのオペレーティング システムのコンポーネントおよびアプリケーションは Window XP および Windows Server 2003 では、影響を受けるコンポーネントのオペレーティング システム バージョンを使用するためです。
また、前記のよく寄せられる質問で説明されているように Windows XP Service Pack 2 を使用している場合、Office XP、Visio 2002、および Project 2002 用のオリジナルのバージョンのセキュリティ更新プログラムが正常にインストールされていない可能性があります。マイクロソフトは Windows XP Service Pack 2 をご使用のお客様向けにインストールの問題が修正され、正しいファイルをインストールするように修正された改訂版のインストール パッケージを Microsoft Update から提供しました。Windows XP Service Pack 2 は自動更新を有効にするようにお客様に推奨して画面を表示するため、多くの Windows XP Service Pack 2 ユーザーは追加の手順を実行する必要はありません。この改訂版のインストール パッケージについてはマイクロソフト サポート技術情報 885884 で説明しています。
この脆弱性を解決する手助けとして、Office アップデートはどのようなセキュリティ更新プログラムを提供する予定ですか?
Office アップデート は、Office XP、Office 2003、Project 2002、Project 2003、Visio 2002 および Visio 2003 用に必要となる更新プログラムを提供する予定です。これらのセキュリティ更新プログラムは、これらの製品がインストールされているすべてのオペレーティングシステムで必要となります。
Office 2003 Service Pack 1、Visio 2003 Service Pack 1 および Project 2003 Service Pack 1、Visio 2003 Service Pack 1 および Project 2003 Service Pack 1 は影響を受けません。これらのサービスパックは、個別の更新プログラムではなく、Office 2003、Project 2003 および Visio 2003 を使用しているお客様に提供される予定です。サービス パックをインストールしたお客様は、これらのアプリケーションでこの脆弱性による影響を受けません。
Microsoft Update または Office アップデートでは、全ての製品に対してこの脆弱性を解決する更新プログラムを提供するのですか?また、どのような更新プログラムを手動でインストールする必要がありますか?
Microsoft Update および Office アップデート は、上述した製品以外については更新プログラムを提供しません。対象外の製品には Visual Studio .NET 2002 (およびすべての含まれているプログラム)、Visual Studio .NET 2003 (およびすべての含まれているプログラム)、Greetings 2002、Picture It! (すべてのバージョン)、Digital Image (すべてのバージョン)、Microsoft .NET Framework version 1.0 SDK Service Pack 2、Microsoft .NET Framework version 1.0 Service Pack 2 用スタンドアロン版のセキュリティ更新プログラム、Microsoft .NET Framework version 1.1用スタンドアロン版のセキュリティ更新プログラム、Producer for Microsoft Office PowerPoint (すべてのバージョン) および Platform SDK Redistributable: GDI+ 用の更新プログラムがあります。 これらのセキュリティ更新プログラムは、これらの製品がインストールされている Windows 98、Windows 98 SE、Windows ME、Windows NT 4.0 および Windows 2000 オペレーティング システムで必要となります。
注 : Visual Studio .NET 2002 Enterprise Architect および Visual Studio .NET 2003 Enterprise Architect は Visio 2002 を含みます。Visio 2002 は Office アップデートによりサポートされます。
InterConncet 2004 はこの脆弱性の影響を受けますか?
いいえ。InterConnect 2004 にはこの脆弱性を影響を受けるコンポーネントは含まれておりません。 2004/09/14 以前にダウンロードしたInterConncet Lite のみ影響を受けます。
InterConnect Lite が 2004/09/14 以前にダウンロードされたものかは、InterConnect Lite のバージョン情報で確認することが可能です。バージョン情報は次の手順で確認することができます。
1. | InterConnect Lite を起動します。 |
2. | [ヘルプ] - [バージョン情報]をクリックします。
バージョンが、1.0.1626.0 の場合はセキュリティ更新プログラムを適用してください。 |
HomeStyle+ Service Pack1 を導入したら InterConncet Lite が含まれていました。この InterConncet Lite は影響を受けますか?
いいえ。HomeStyle+ Service Pack1 に含まれる InterConncet Lite には、この脆弱性の影響を受けるコンポーネントは含まれておりません。2004/09/14 以前にダウンロードした InterConncet Lite のみ影響を受けます。
はがきスタジオ2004に影響を受けるコンポーネントが含まれています。セキュリティ更新プログラムはありますか?
いいえ。はがきスタジオ 2004 には、この脆弱性の影響を受ける可能性のあるバージョンのモジュールが含まれています。しかし、はがきスタジオ 2004は、この脆弱性の影響を受ける JPEG に関する機能を使用していないため。はがきスタジオ 2004を使用してこの脆弱性を悪用することはできません。そのため、はがきスタジオ 2004 のセキュリティ更新プログラムは、存在しません。
Visio 2002 Viewer、Visio 2003 Viewer、および PowerPoint 2003 Viewer プログラムはこの脆弱性の影響を受けますか?
Visio 2002 Viewer、Visio 2003 Viewer、および PowerPoint 2003 Viewer プログラムの以前のバージョンはこの脆弱性の影響を受けますが、以前のバージョンのプログラムに対するセキュリティ更新プログラムの提供は終了しました。最新のバージョンである Visio 2002 Viewer、Visio 2003 Viewer、および PowerPoint 2003 Viewer はこの脆弱性の影響を受けません。お客様には最新のバージョンのプログラムをインストールすることを推奨します。
このマークをクリックして、更新プログラムをダウンロードしてください。
このマークの付いている更新プログラムは Microsoft Update からインストールすることもできます。
このマークの付いている更新プログラムは Office アップデート からインストールすることもできます。