マイクロソフトは、「TechNetセキュリティ情報：MS04-004（Internet Explorer 用の累積的なセキュリティ修正プログラム）」の修正プログラムを適用すると、ユーザー認証用の情報（ユーザー名とパスワード）を含むURLをパラメータに持つXMLHTTP呼び出しがシンタックス・エラーを発生するという不具合があることを明らかにした。具体的には例えば次のように、XMLHTTPのopenメソッドにユーザー情報を含むURLを指定した場合である。

　MS04-004の修正プログラムを適用した環境では、これがエラーになる（場合によっては“Invalid Syntax Error”が表示される）。

• サポート技術情報：832414（ユーザー資格情報が埋め込まれた URL を指定すると XMLHTTP の呼び出しでエラーが発生する）

　XMLHTTPはMicrosoft XML（MSXML：XMLパーサー）のコンポーネントの一部であり、Windows XPやIE 6、SQL Server 2000、MDACなど、マイクロソフト製品で幅広く利用されている。Windows環境にMSXMLがインストールされている場合、%SystemRoot%\System32フォルダの下に以下のファイルが存在する。

• MSXML.dll（MSXML 1.0〜2.5の場合）
• MSXML2.dll（MSXML 2.6の場合）
• MSXML3.dll（MSXML 3.0の場合）
• MSXML4.dll（MSXML 4.0の場合）

　MSXMLは、バージョンごとに異なる.DLLファイルでインストールされるため、1つのWindowsに複数バージョンのMSXMLがインストールされている場合もある。

　MS04-004の修正プログラム適用後、Webアクセスでエラーが発生するようになった場合などは、今回の不具合が影響している可能性が考えられる。MSXML 3.0 SP2／SP3／SP4向けには、この不具合を解消する修正プログラムがすでにマイクロソフトから提供されている。思い当たる節がある場合はダウンロードして適用してみるとよいだろう。

• ダウンロード・センター（XML 3.0 Service Pack 2）
• ダウンロード・センター（XML 3.0 Service Pack 3）
• ダウンロード・センター（XML 3.0 Service Pack 4）

　ただし原稿執筆時点（2004年2月上旬）の段階では、これら以外のバージョン向けの修正プログラムは提供されていない。MSXML 3.0 SP2／SP3／SP4がインストールされているかどうかは、%SystemRoot%\System32\MSXML3.dllのファイル・バージョンで確認できる（ファイルのプロパティで確認可能）。

■関連リンク

• Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) (MS04-004)

• [MS04-004] Internet Explorer 用の累積的なセキュリティ修正プログラム

• ユーザー資格情報が埋め込まれた URL を指定すると XMLHTTP の呼び出しでエラーが発生する

• Critical Update for Microsoft XML 3.0 Service Pack 2 - KB832414 - 日本語

• Critical Update for Microsoft XML 3.0 Service Pack 3 - KB832414 - 日本語

• Critical Update for Microsoft XML 3.0 Service Pack 4 - KB832414 - 日本語

　マイクロソフトは、IE 6.0 SP1に対してMS04-004の修正プログラム（Internet Explorer用の累積的なセキュリティ修正プログラム）を適用すると、SSLで保護されたWebサイトへのPOSTリクエストに断続的なエラーが発生する不具合があることを明らかにした。このためSSLで保護されたWebサイトにおいて、Webページのフォーム機能を利用してユーザー名やパスワードを送信するとき、最初の接続が終了すると、IEからWebサーバに情報が再送されない。これにより場合によっては「HTTP 500（内部サーバー エラー）」ページが表示されることがある。

　マイクロソフトは、すでにこの不具合を解消する修正プログラムをリリースしている。

• ダウンロード・センター（Q831167：推奨修正プログラム）

■関連リンク

• Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) (MS04-004)

• [MS04-004] Internet Explorer 用の累積的なセキュリティ修正プログラム

• Q831167 ： 推奨修正プログラム

　セキュリティ関連の掲示板やJPCERT/CCは、「TechNetセキュリティ情報：MS04-007（ASN.1の脆弱性により、コードが実行される）」の脆弱性をDoS攻撃する実証コード（エクスプロイト・コード）が広く公開されており、一部でDoS攻撃の兆候が見られると報告している。公開された実証コードを使用すると、MS04-007の脆弱性に対してDoS攻撃を行い、lsass.exe（ユーザーのログオン検証、ユーザー・アカウント管理などのドメイン関連機能を実現するサービス）を強制的に終了させ、システムをシャットダウンさせることが可能になる。

• JPCERT/CCの「Microsoft ASN.1 Library の脆弱性に関する注意喚起」

　セキュリティ関連の掲示板の情報によれば、すでにこの脆弱性を悪用するための侵入（ポート・スキャンなど）によるトラフィックが検出されているとの報告もある。ワームなどに悪用される危険性が高いので、インターネットに接続されたWindowsベースのサーバで、MS04-007の修正をまだ適用していないものがある場合は、至急に対策を実施する必要がある。

■関連リンク

• [MS04-007] ASN.1 の脆弱性により、コードが実行される

• Microsoft ASN.1 Library の脆弱性に関する注意喚起

　マイクロソフトは、電子メールを媒介として感染を広げるウイルス、Mydoom（マイドゥーム）およびDoomjuice（ドゥームジュース）と、それらの亜種に感染したコンピュータから、ウイルスを駆除する無償ツール（Mydoom Worm Removal Tool Version 3.0）の提供を開始した。原稿執筆時点（2月第3週）では、これらのウイルスの活動は沈静化しているようだが、亜種などの感染が再度広がる危険性もある。また受け取ったウイルス・メールの添付ファイルを開くと感染するので、過去のウイルス・メールを誤って開くことで感染する可能性もある。無償ツールなので、取りあえずは入手しておき、必要に応じて利用するとよい。

• 情報処理推進機構 「W32/Mydoom」（別名：Novarg）ウイルスに関する情報

• ダウンロード・センター Mydoom（A, B）and Doomjuice（A, B）Worm Removal Tool

　なおマイクロソフトは、前記ウイルスに感染したコンピュータがWindows Updateにアクセスしたときに、今回のツールを「重要な更新」として表示するサービスを開始した。Windows Updateを利用して「重要な更新836528」（今回提供のツール）が表示された場合は、これをインストールして実行する。

■関連リンク

• Mydoom ワームと Doomjuice ワームの亜種を駆除するツール

• 「W32/Mydoom」（別名：Novarg）ウイルスに関する情報

• Mydoom (A, B) and Doomjuice (A, B) Worm Removal Tool (KB836528)

　マイクロソフトは、Windows 2000やWindows XP向けのService Packや重要なセキュリティ・ホールを解消する修正プログラム集の最新版「Windowsセキュリティ・アップデートCD（2004年2月）」を発表した。だれでも無償で入手が可能で、以下のマイクロソフトのページにあるリンクから申し込むことができる。

• Windowsセキュリティ・アップデートCD（2004年2月）

　このCDは、基本的に個人ユーザーを想定したもので、ダイヤルアップ接続など、ナローバンドのインターネット接続しか持たず、Service Packや修正プログラムのオンラインでの入手が困難なユーザーに対し提供することを念頭に置いている。ただし企業ユーザーの中には、セキュリティ的な観点から、オンラインでWindows Updateなどを利用し、修正プログラムを適用することが困難な場合もあるだろう。このような場合に、オフラインで修正プログラムを適用するためのツールとして活用することは可能だ。

　ただし収録されているのは2003年10月までに公開された重要な更新であり、CDだけで最新の状態にすることはできない。また64bit版Windows XP 向けの修正も収録されていない。

　企業で組織的に修正プログラムを適用する場合には、CDをコピーして、各部署の管理者に再配布したいところだ。マイクロソフトに問い合わせたところ、修正プログラムについては、同一社内なら再配布が可能とのことだ。ただしCDの申し込みは1人1枚までとのことである。

■関連リンク

• Windows セキュリティ アップデート CD

• サポート技術情報 835592（IISサービス マネージャに既定のSMTP仮想サーバーが表示されない）：［Windows Server 2003］［IIS 6.0］

• サポート技術情報 833846（Windows XPでRealtek AC'97 Audioデバイスが使用されていると、サウンドを使用するプログラムを実行するときに、コンピュータがクラッシュする）：［Windows XP］

• サポート技術情報 835418（MDAC 2.8をインストールすると検索に失敗することがある）：［SharePoint Portal Server 2001］

• サポート技術情報 316431（Internet ExplorerでSSL WebサイトのOffice文書を開けない）：［IE 6＋Windows 2000］［IE 5.5＋Windows 2000］［IE 5.01＋Windows 2000］

• サポート技術情報 832334（Excel 2003でXMLスプレッドシートを開くと応答が停止するかエラー メッセージが表示される）：［Excel 2003］

• サポート技術情報 824007（Excelのマクロのセキュリティ レベルが [高] に設定されているとActiveXコントロール イベントが処理されない）：［Excel 2003］

• サポート技術情報 325630（［開く］および［名前を付けて保存］ダイアログ ボックスで、複数のピリオドの付いたファイルに対して修飾されたファイル名が使用される）：［IE 5.5 SP2］