Windows HotFix Briefings
(2004年11月05日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2004/11/05

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点、不具合などの情報を隔週でまとめてお届けします。
 
[脆弱性情報]
重大なIEの脆弱性が相次いで報告

情報の内容 IEの脆弱性情報
情報ソース Secuniaなど
報告日
対象環境 Internet Explorer 6

 リモート・コード実行を可能にするなど、万一攻撃された場合は影響が大きいInternet Explorerの脆弱性がセキュリティ情報サイトなどで相次いで報告された。いずれもまだマイクロソフトから修正プログラムが提供されていないものだ。実証コードが公開されているものもあるので、システム管理者は注意が必要だ。

 2004年10月20日、Secuniaは、IE 6 SP2(Windows XP SP2に付属するIE)にドラッグ・アンド・ドロップとセキュリティ・ゾーンの制限にそれぞれ脆弱性が存在することをレポートした。このうち「ドラッグ・アンド・ドロップの脆弱性」は、インターネット・ゾーンのWebページ上に配置されたイメージやメディア・ファイルをローカルにドラッグ・アンド・ドロップする場合の検証が十分ではなく、攻撃用スクリプトがローカル・コンピュータ・ゾーンで実行されてしまうというもの。「セキュリティ・ゾーンの制限の脆弱性」は、HTMLファイルに埋め込んだヘルプ・コントロール機能の悪用により、ユーザーのブラウザ・セッション内で攻撃用スクリプトが実行されてしまうというものだ。

 さらにSecuniaは、2004年11月4日に「IFRAMEバッファオーバーフローの脆弱性」を報告した。こちらは深刻度が最大の“Extremely critical”にされている。IFRAMEタグの処理部分に未チェックバッファがあり、攻撃者によるリモート・コード実行の危険がある。

 ただしこちらはIE 6 SP2には影響がない。Windows XP SP2をまだ適用せずにIE 6を利用している場合や、Windows 2000でIE 6を利用している場合は影響を受ける。

 これらの脆弱性に対する修正プログラムはまだ提供されていない。スクリプト実行の禁止措置や、(Windows XPユーザーの場合は)Windows XP SP2の適用などを検討するとともに、今後のウイルスやワーム情報に注意する必要があるだろう。

 
[不具合情報]
XP SP2の適用で、CSVファイルのダウンロード保存先が指定できなくなる

情報の内容 不具合情報
情報ソース セキュリティ情報BBS
報告日 2004/10/29
対象環境 Windows XP SP2

 セキュリティ情報BBSのHotFix Report BBSへの報告によれば、Windows XP SP2を適用後、Webページ内の.CSVファイルへのリンクをクリックし、ファイルのダウンロードを行おうとしても、ダウンロード先を指定するダイアログが表示されず、IEウィンドウでしか表示されなくなるという不具合がある。

 本来、デフォルトでは、ファイルのリンクをクリックした時点で、そのまま実行するか、ファイルに保存するかを問い合わせるダイアログが表示されなければならない。この処理は、エクスプローラのファイル・オプション(エクスプローラの[ツール]−[フォルダ オプション]から表示されるダイアログの[ファイルの種類]タブで拡張子を選択し、[詳細設定]ボタンをクリックして表示されるダイアログの[ダウンロード後に開くを確認をする]チェック・ボックス)によって動作が規定されるもので、デフォルトでは[ダウンロード後に開くを確認をする]チェック・ボックスはオンになっており、ダイアログが表示される。

 上記の不具合は、拡張子.CSVの[ダウンロード後に開くを確認をする]チェック・ボックスをオンにしていても発生する。この問題を回避するには、.CSVだけでなく、.CSVのオープン用として設定されているアプリケーションのデフォルト拡張子(例えばExcelなら.XLS)に対しても[ダウンロード後に開くを確認をする]チェック・ボックスをオンにする。

 投稿によれば、業務Webアプリケーションを運用しており、データベースの検索結果のデータをCSV形式でクライアントに送信する場合などに問題が発生することがあるという。XP SP2の適用によって.CSVに関連するWebアプリケーションの挙動が変化したという場合には、この問題を疑ってみる必要があるだろう。

 
[修正プログラム情報]
MS04-032の適用で発生する音楽管理ソフトウェアの不具合を解消する修正プログラム

情報の内容 修正プログラム情報
情報ソース マイクロソフト
報告日
対象環境 Windows 2000、Windows XP SP2

 MS04-032(Windowsのセキュリティ更新プログラム)を適用すると、一部の音楽管理ソフトウェアが起動不能になるなどの不具合が発生する。

 マイクロソフトは、この問題を解消する修正プログラムを公開した。MS04-032の適用により障害が発生した場合は、以下より修正プログラムを入手して適用する。

 なおWindows XP用の修正プログラムについては、11月3〜4日にかけてWindows UpdateカタログおよびSUS(Software Update Services)に更新版が登録された。ファイル名はWindowsXP-KB887811-v2-X86-JPN.exeである。11月4日の時点でダウンロード・センターには、まだ旧版のWindowsXP-KB887811-X86-JPN.exeのみ登録されたままだが、早晩更新されるだろう。

 
[不具合情報]
MS04-038の適用によりInterConnectでドラッグ・アンド・ドロップができなくなる

情報の内容 不具合
情報ソース マイクロソフト
報告日 2004/10/27
対象環境 InterConnect 2004

 MS04-038(IEの累積的なセキュリティ更新プログラム)を適用すると、電子名刺公開用アプリケーションのInterConnect 2004の[連絡先情報]ビューでドラッグ・アンド・ドロップが機能しなくなる不具合が公表された。

[IC2004]MS04-038適用後、連絡先情報でドラッグ・アンド・ドロップができない(MSKB888952)

 InterConnect 2004では、連絡先情報の一覧から連絡先情報をドラッグ・アンド・ドロップでグループに追加できるが、MS04-038を提供するとこの追加操作が機能しなくなる。

 この不具合を解消する修正プログラムは原稿執筆時点では提供されていない。上記サポート技術情報において、運用での回避方法が紹介されている。

 
そのほかの不具合情報、追加情報
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間