社本@元ネオニート Blog

社本@元ネオニート (元々ワック) のいたずら書き (for Programmers)

AILight Banner
AILight Blog

プロフィール

社本@元ネオニート Blog
働いたら負けかなと思っていたのですが。。とうとう働き始めました。アメリカのシアトル・エリアにある企業向けのバックアップソフトを開発している会社です。日本人は私だけ。なんとか。。やっていけてるようです。

目次

Blog 利用状況

記事分類

過去の記事

タグ

GDI+のマージモジュール(GDIPlus.msm) の不具合 - VS2002/VS2003/Windows Installer

今まで、どこかで書かないと~と思いながらも忙しくて書けなかったネタです。

VS2002およびVS2003は、インストーラを作成するデプロイメントプロジェクトのために
CランタイムやMFCのDLL等の各種マージモジュールを提供しています。
その中には、GDI+のマージモジュール(GDIPlus.msm) も含まれています。

GDI+のマージモジュールですが、あの有名なGDI+の脆弱性の対応で
VS2002, VS2003の修正モジュールが提供されています。

なので、GDI+のマージモジュールは、2種類がリリースされているのですが。。
なんと、この2種類ともにインストール条件が正しくありません。


オリジナルのマージモジュールでは、インストール条件が全く設定されていません。
GDI+は、WinXP以降の環境ではSxSの形で標準的に提供されているため
インストールする必要はないのですが、しっかりインストールされちゃいます。
なお、ライセンス的には、WinXP以降の環境にインストールするのはダメだそうです。
Office 2003は、WinXPでもインストールしちゃってますけどね。。

GDI+の脆弱性対応版のマージモジュールは、WinXP以降ではインストール
されないようなインストール条件が書かれています。
しかし、このインストール条件にも不具合があり、Win9xにもインストールされません。


上記の件を、Microsoftの方と連絡をとって、インシデントを使って報告を行いました。
紆余曲折あったのですが、サポートや開発の方々の頑張りによって、QFEも作成していただけました。
その際、とりあえずインストール条件も教えていただいたので、ここでまとめておきます。
下記のインストール条件で、作成したインストーラ(MSIファイル)をorcaで開いて修正するか
専用のマージモジュールを作成すればよいかと思います。

---
オリジナル : インストール条件なし
GDI+脆弱性対応版 : VersionNT 正しいインストール条件 :? (Version9X AND (Version9X>=400)) OR (VersionNT AND (VersionNT---


実は、Microsoftに電話をしてサポートを受けたのは、今回が初めてでした。
よく聞くセリフですが「Microsoftのサポートなんて~」と、私自身が思っていたからです。(スミマセン)
しかし、今回の件で、それは単なる思い込みのイメージだったということがよくわかりました。
粘り強くアメリカのMicrosoftと交渉を行っていただき、QFEまで作成していただけましたからね。
本当に、関係者の方々には感謝しております。
みなさんも、イメージに捕らわれることなく、サポートに電話してみては、いかがでしょうか?(笑)


■GDI+ を利用している製品のセキュリティ対策方法についてよく寄せられる質問 (FAQ)
http://www.microsoft.com/japan/security/bulletins/ishv_faq.mspx
(ここに紹介されている最後の質問2つも、今回の件で追加されたものです。)

■Visual Studio .NET 2003 GDIPLUS.DLL セキュリティ アップデート
http://www.microsoft.com/downloads/details.aspx?FamilyID=a13b7a21-463c-4286-ad68-e692417e80e2&DisplayLang=ja

■Visual Studio .NET 2002 GDIPLUS.DLL セキュリティ アップデート
http://www.microsoft.com/downloads/details.aspx?FamilyID=44004d19-b22f-4af2-a701-1fcb0467fbf9&DisplayLang=ja

投稿日時 : 2005年5月5日 8:23


コメントを追加

タイトル
名前
URL
コメント