脆弱性がある“GDI+”コンポーネントを検索して最新版に置換「UpdateGDI+」

マイクロソフト製品以外のソフトについてJPEG処理の脆弱性があるか確認できる

「UpdateGDI+」v0.1

　JPEG処理の脆弱性がある“GDI+”コンポーネントを検索して最新版に置換できるソフト「UpdateGDI+」v0.1が、27日に公開された。Windowsに対応するフリーソフトで、編集部にてWindows 2000/XPで動作確認した。現在作者のホームページからダウンロードできる。

　「UpdateGDI+」は、PC内にある“GDI+”コンポーネントの“gdiplus.dll”がJPEG処理の脆弱性の影響を受けるバージョンかどうか確認できるソフト。さらに本ソフトと同じフォルダへあらかじめ最新版を置いておけば、古いファイルを最新版に差し替えることも可能。このとき、古いファイルは“gdiplus.old”とリネームされて同じフォルダ内に保管されるので、万が一バージョンの違いによりソフトの動作に影響が出た場合は、ファイルを差し戻すことも可能だ。

　また“mso.dll”“vgx.dll”についても、脆弱性の影響を受けるバージョンかどうかチェックできる。“gdiplus.dll”最新版は、米Microsoftのホームページからダウンロード可能で、本ソフトのヘルプからもたどることができる。

　マイクロソフト（株）によると、JPEG処理に関わるコンポーネント“GDI+”の旧バージョンには脆弱性があり、特殊な細工が施されたJPEG画像を表示させると、任意のコードが実行されてしまう脆弱性があるとのこと。同社はこの脆弱性を修正する修正プログラムを15日に公開しており、同社製品は“Windows Update”機能やWebサイト“Office Online”からのオンラインアップデートなどにより同脆弱性を修正できる。

　しかし“GDI+”コンポーネントは、同社製品だけでなく他社製品にも利用されている。他社製品内のコンポーネントは、“Windows Update”などの手段では最新版へ更新できず、各ソフトごとに製造元の作成した修正プログラムを入手する必要があった。本ソフトは、“GDI+”コンポーネントをDLL形式でもつものに限られるが、PC内の各ソフトが同脆弱性の影響を受けるかどうか個別に調べることなく、自動で対処できて便利。

【著作権者】片山誠一　氏
【対応OS】（編集部にてWindows 2000/XPで動作確認）
【ソフト種別】フリーソフト
【バージョン】0.1（04/09/27）