Windows HotFix Briefings
(2004年2月20日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2004/02/20

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点、不具合などの情報を隔週でまとめてお届けします。

[お知らせ]
これまで、修正プログラムに起因する問題点や不具合情報の隔週レポートを「HotFix Briefings Biweekly」としていましたが、今回より「HotFix Briefings」と呼称を変更いたします。新規セキュリティ情報ごとのレポートは従来どおり「HotFix Briefings Alert」として、新しい脆弱性が明らかになった時点で随時記事を公開します。ご了承ください。

[不具合情報]
MS04-004の修正プログラム適用により、ユーザー情報を含むURLをパラメータに持つXMLHTTP呼び出しがエラーになる

不具合の内容 機能不全
情報ソース マイクロソフト
報告日 2004/2/5
MS Security# MS04-004
MSKB# 832894(脆弱性)
832414(不具合)
対象環境 Microsoft XML 2.5/2.6/3.0/4.0

 マイクロソフトは、「TechNetセキュリティ情報:MS04-004(Internet Explorer 用の累積的なセキュリティ修正プログラム)」の修正プログラムを適用すると、ユーザー認証用の情報(ユーザー名とパスワード)を含むURLをパラメータに持つXMLHTTP呼び出しがシンタックス・エラーを発生するという不具合があることを明らかにした。具体的には例えば次のように、XMLHTTPのopenメソッドにユーザー情報を含むURLを指定した場合である。

ユーザー名=mikenash、パスワード=mypassの情報を含むURLの例

Xmlhttp.open("GET", "http://mikenash:mypass@www.northwindtraders.com/default.asp", false, "", "");

 MS04-004の修正プログラムを適用した環境では、これがエラーになる(場合によっては“Invalid Syntax Error”が表示される)。

 XMLHTTPはMicrosoft XML(MSXML:XMLパーサー)のコンポーネントの一部であり、Windows XPやIE 6、SQL Server 2000、MDACなど、マイクロソフト製品で幅広く利用されている。Windows環境にMSXMLがインストールされている場合、%SystemRoot%\System32フォルダの下に以下のファイルが存在する。

  • MSXML.dll(MSXML 1.0〜2.5の場合)
  • MSXML2.dll(MSXML 2.6の場合)
  • MSXML3.dll(MSXML 3.0の場合)
  • MSXML4.dll(MSXML 4.0の場合)

 MSXMLは、バージョンごとに異なる.DLLファイルでインストールされるため、1つのWindowsに複数バージョンのMSXMLがインストールされている場合もある。

 MS04-004の修正プログラム適用後、Webアクセスでエラーが発生するようになった場合などは、今回の不具合が影響している可能性が考えられる。MSXML 3.0 SP2/SP3/SP4向けには、この不具合を解消する修正プログラムがすでにマイクロソフトから提供されている。思い当たる節がある場合はダウンロードして適用してみるとよいだろう。

 ただし原稿執筆時点(2004年2月上旬)の段階では、これら以外のバージョン向けの修正プログラムは提供されていない。MSXML 3.0 SP2/SP3/SP4がインストールされているかどうかは、%SystemRoot%\System32\MSXML3.dllのファイル・バージョンで確認できる(ファイルのプロパティで確認可能)。

MSXMLのバージョン ファイル・バージョン
MSXML 3.0 SP2 8.20.8730.1以上
MSXML 3.0 SP3 8.30.9926.0以上
MSXML 3.0 SP4 8.40.9419.0以上

■関連リンク

 
[不具合情報]
MS04-004の修正プログラム適用により、SSL/TLS 3.0サイト訪問時にHTTP 500 エラーが発生する
不具合の内容 機能不全
情報ソース マイクロソフト
報告日 2004/2/13
MS Security# MS04-004
MSKB# 832894(脆弱性)
831167(不具合)
対象環境 IE 6 SP1+Windows NT 4.0 SP6a
IE 6 SP1+Windows 2000 SP2、SP3、SP4
IE 6 SP1+Windows XP SP未適用、SP1、SP1a

 マイクロソフトは、IE 6.0 SP1に対してMS04-004の修正プログラム(Internet Explorer用の累積的なセキュリティ修正プログラム)を適用すると、SSLで保護されたWebサイトへのPOSTリクエストに断続的なエラーが発生する不具合があることを明らかにした。このためSSLで保護されたWebサイトにおいて、Webページのフォーム機能を利用してユーザー名やパスワードを送信するとき、最初の接続が終了すると、IEからWebサーバに情報が再送されない。これにより場合によっては「HTTP 500(内部サーバー エラー)」ページが表示されることがある。

 マイクロソフトは、すでにこの不具合を解消する修正プログラムをリリースしている。

■関連リンク

 
[追加情報]
MS04-007の脆弱性をDoS攻撃する実証コードが公開

情報の内容 攻撃用に流用可能なコードの公開
情報ソース セキュリティ関連の掲示板
JPCERT/ CCなど
報告日 2004/2/16
MS Security# MS04-007
MSKB# 828028(脆弱性)
対象環境 Windows 2000 SP2、SP3、SP4
Windows XP SP未適用、SP1、SP1a

 セキュリティ関連の掲示板やJPCERT/CCは、「TechNetセキュリティ情報:MS04-007(ASN.1の脆弱性により、コードが実行される)」の脆弱性をDoS攻撃する実証コード(エクスプロイト・コード)が広く公開されており、一部でDoS攻撃の兆候が見られると報告している。公開された実証コードを使用すると、MS04-007の脆弱性に対してDoS攻撃を行い、lsass.exe(ユーザーのログオン検証、ユーザー・アカウント管理などのドメイン関連機能を実現するサービス)を強制的に終了させ、システムをシャットダウンさせることが可能になる。

 セキュリティ関連の掲示板の情報によれば、すでにこの脆弱性を悪用するための侵入(ポート・スキャンなど)によるトラフィックが検出されているとの報告もある。ワームなどに悪用される危険性が高いので、インターネットに接続されたWindowsベースのサーバで、MS04-007の修正をまだ適用していないものがある場合は、至急に対策を実施する必要がある。

■関連リンク

 
[追加情報]
Mydoom/Doomjuiceの駆除ツールの提供開始

情報の内容 ウイルス駆除ツールの公開
情報ソース マイクロソフト
報告日 2004/2/13
MS Security#
MSKB# 836528(追加)
対象環境 Windows 98、98 SE
Windows Me
Windows 2000 SP2、SP3、SP4
Windows XP SP未適用、SP1、SP1a
Windows Server 2003

 マイクロソフトは、電子メールを媒介として感染を広げるウイルス、Mydoom(マイドゥーム)およびDoomjuice(ドゥームジュース)と、それらの亜種に感染したコンピュータから、ウイルスを駆除する無償ツール(Mydoom Worm Removal Tool Version 3.0)の提供を開始した。原稿執筆時点(2月第3週)では、これらのウイルスの活動は沈静化しているようだが、亜種などの感染が再度広がる危険性もある。また受け取ったウイルス・メールの添付ファイルを開くと感染するので、過去のウイルス・メールを誤って開くことで感染する可能性もある。無償ツールなので、取りあえずは入手しておき、必要に応じて利用するとよい。

 なおマイクロソフトは、前記ウイルスに感染したコンピュータがWindows Updateにアクセスしたときに、今回のツールを「重要な更新」として表示するサービスを開始した。Windows Updateを利用して「重要な更新836528」(今回提供のツール)が表示された場合は、これをインストールして実行する。

■関連リンク

 
[追加情報]
Windowsセキュリティ・アップデートCDを提供開始

情報の内容 セキュリティ更新を収録したCDの提供
情報ソース マイクロソフト
報告日 2004/2/18
MS Security#
MSKB#
対象環境 Windows 98、98 SE
Windows Me
Windows 2000 Professional
Windows XP Home、Professional、
Tablet PC Edition

 マイクロソフトは、Windows 2000やWindows XP向けのService Packや重要なセキュリティ・ホールを解消する修正プログラム集の最新版「Windowsセキュリティ・アップデートCD(2004年2月)」を発表した。だれでも無償で入手が可能で、以下のマイクロソフトのページにあるリンクから申し込むことができる。

 このCDは、基本的に個人ユーザーを想定したもので、ダイヤルアップ接続など、ナローバンドのインターネット接続しか持たず、Service Packや修正プログラムのオンラインでの入手が困難なユーザーに対し提供することを念頭に置いている。ただし企業ユーザーの中には、セキュリティ的な観点から、オンラインでWindows Updateなどを利用し、修正プログラムを適用することが困難な場合もあるだろう。このような場合に、オフラインで修正プログラムを適用するためのツールとして活用することは可能だ。

 ただし収録されているのは2003年10月までに公開された重要な更新であり、CDだけで最新の状態にすることはできない。また64bit版Windows XP 向けの修正も収録されていない。

 企業で組織的に修正プログラムを適用する場合には、CDをコピーして、各部署の管理者に再配布したいところだ。マイクロソフトに問い合わせたところ、修正プログラムについては、同一社内なら再配布が可能とのことだ。ただしCDの申し込みは1人1枚までとのことである。

■関連リンク

 
そのほかの不具合情報
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間