Windows HotFix Briefings
(2004年10月22日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2004/10/22

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点、不具合などの情報を隔週でまとめてお届けします。
 
[修正プログラム]
ASP.NETサイトの認証をバイパスできる脆弱性の修正プログラムが公開

情報の内容 修正プログラム公開
情報ソース マイクロソフト
報告日 2004/10/07
対象環境 Windows 2000、Windows XP、Windows Server 2003

 前回のHotFix Briefingsにおいて報告したASP.NETの脆弱性(前回の記事)を解消する修正プログラムがマイクロソフトから公開された。ASP.NETベースのWebサイトを運営している場合は適用が必要である。

 ASP.NETでは、実際にページが実行される前に、HTTPリクエストに対して前処理を実行するモジュールを追加できる。これがHTTPモジュールである。今回の修正を適用すると、HTTPリクエストを検査し、不正だと判断された場合は「ページが存在しない」エラー(いわゆる404エラー)を返すようになる。

 
[不具合情報
Windows XP SP2へのGDI+検出ツールのインストールでハングアップ

情報の内容 不具合
情報ソース マイクロソフト
報告日 2004/10/14
対象環境 Windows XP SP2

 Windows XP SP2を適用した環境で、10月度に公開されたセキュリティ修正を自動更新機能で適用したとき、適用処理が途中でハングアップしてしまい、最悪の場合はシステムが正常に起動しなくなるという問題が発生している。この問題の詳細については次のマイクロソフト・サポート技術情報に説明されている。

 トラブルの内容は、10月度の自動更新でWindows XP SP2に対して適用される「GDI+検出ツール」を「コンピュータのシャットダウンと更新プログラムの適用」(修正を適用してからシャットダウンするWindows XPの機能)で適用しようとすると、処理途中でハングアップしてしまうというもの。

 すでにマイクロソフトは、自動更新サーバでのGDI+検出ツールの提供を一時中止しているが、シャットダウンせずに継続使用しているWindows XP SP2コンピュータでは、すでに更新モジュール(GDI+検出ツール)がダウンロードされており、次回のシャットダウン時に更新が適用されてハングアップが発生する可能性もある。ハングアップが発生してしまったら、前出のサポート技術情報を見ながらシステムを回復する。

 
[不具合情報]
MS04-023の適用でHTMLヘルプが動作不良を起こす

情報の内容 不具合
情報ソース マイクロソフト
報告日 2004/10/13
対象環境 Windows 98、Windows 98 SE、Windows Me、Windows NT、Windows 2000、Windows XP、Windows Server 2003

 MS04-023(HTMLヘルプの脆弱性により、コードが実行される)の修正プログラムを適用すると、一部のアプリケーションでヘルプが正常に動作しなくなるという不具合が報告された。MS04-023を適用すると、拡張子.chm以外のファイルはコンパイル済みヘルプ・ファイルとしては取り扱われなくなるが、一部のアプリケーションは、.chm以外のファイルをヘルプ・ドキュメントとして使用している場合がある。「突然ヘルプが参照できなくなった」などという問い合わせを受けたときには、この不具合を疑ってみる必要があるだろう。

 この問題を回避するには、マイクロソフト・プロダクト・サポート・サービスから修正プログラムを入手し、適用後にレジストリを編集して、使用したい拡張子(.chm以外の拡張子)を登録する必要がある。詳細な手順については、次のサポート技術情報が詳しい。

 
[累積修正プログラムの公開]
IE 6 SP1向け累積的修正プログラムが公開

情報の内容 累積的な修正プログラムの公開
情報ソース マイクロソフト
報告日 2004/10/15
対象環境 IE 6 SP1

 マイクロソフトは、先頃公開したMS04-038(Internet Explorer用の累積的なセキュリティ更新プログラム )のセキュリティ修正プログラムを含む、IE SP1以降に公開された複数の修正プログラムをひとまとめにした「累積的な修正プログラム」を公開した。

 MS04-038も、タイトルは「Internet Explorer用の累積的なセキュリティ更新プログラム」であり、「累積的」と記されている。上記の累積修正(MSKB873377)と何が違うのか、一見しただけでは分からないのだが、TechNetセキュリティ情報やサポート技術情報などを調べた限りでは、MS04-038が「累積」しているのはセキュリティ修正とMS04-004までの不具合修正で、MS04-004より後の不具合修正は含んでいなかった。これに対し今回公開された累積修正(MSKB873377)では、セキュリティ修正だけでなく、MS04-004より後の不具合修正(いわゆるバグ・フィックス)もまとめられている。互換性検証などの問題もあるが、基本的にはMS04-038ではなく、今回の累積修正(MSKB873377)を適用したほうがよいだろう。

 
[SP情報]
Virtual PC 2004 SP1が公開

情報の内容 SP公開
情報ソース マイクロソフト
報告日 2004/10/12
対象環境 Virtual PC 2004

 ソフトウェアで仮想的なPC環境を構築可能にするVirtual PC 2004向けのService Pack 1が公開された。

 Virtual PC 2004のゲストOS(仮想PC環境で使用するOS)としてWindows XP SP2をインストールすると、パフォーマンスが大幅に低下するという不具合が報告されていた。この不具合の詳細は次のページで参照できる。

 今回公開されたSP1では、この問題が解消されている。

 
[参考情報]
Excel 2002にMS04-033を適用した場合のファイル・バージョンの注意

情報の内容 参考情報
情報ソース DA Lab
報告日 2004/10/20
対象環境 Excel 2002

 10月度のセキュリティ修正プログラムとして公開されたMS04-033では、Excel 2002向けの適用対象環境がExcel 2002 SP2とされており、最新のExcel 2002 SP3は対象外となっている。理由は、Excel 2002 SP3では、MS04-033の脆弱性がすでに修正されているためとされている。

 ただしDA Labで調査したところ、各バージョンにおけるexcel.exeのファイル・バージョンは次のようになっていた。

プログラム バージョン
Office XP SP2 10.0.4302.0
MS04-033 10.0.6713.0
Office XP SP3 10.0.6501.0
各プログラムに含まれるexcel.exeのファイル・バージョン

 つまり、MS04-033をExcel 2002 SP2に適用すると、excel.exeのファイル・バージョンはExcel 2002 SP3よりも新しくなる。MS04-033で提供された修正プログラムでは、脆弱性の解消だけでなく、次のサポート技術情報にある不具合の修正が含まれているため、結果としてOffice XP SP3よりもファイル・バージョンが大きくなったものと思われる。

 ファイル・バージョンを元にしたアプリケーション管理などを行っている場合は注意が必要だ。

 
そのほかの不具合情報、追加情報
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間