Windows HotFix Briefings
(2004年11月19日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2004/11/19

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点、不具合などの情報を隔週でまとめてお届けします。
 
[不具合情報]
XP SP2の適用で、STOPエラーが発生する

情報の内容 不具合情報
情報ソース マイクロソフト
報告日 2004/11/02
対象環境 Windows XP SP2

 Windows XP SP2で修正されるNTFS機能にメモリ・リークのバグがあり、メモリが枯渇してSTOPエラーが発生する不具合がある。

 NTFSのメモリ記述子リスト(MDL:Memory Descriptor List)タグで使用するメモリ・プール処理部分にメモリ・リークのバグがあり、メモリを使い切ってしまう。MDLは、Windows OSのメモリ管理システムが使用するコンポーネントで、NTFSはファイル・アクセスのキャッシング処理でこのMDLを使用しているものと思われる。詳細は不明だが、ファイルI/Oが頻繁に発生するシステムにおいて、XP SP2の適用以来STOPエラーが発生するなどの症状が起こった場合にはこの不具合を疑う必要があるだろう。

 
[不具合情報]
MS04-039 ISA Server 2000用修正プログラムが更新

情報の内容 不具合情報
情報ソース マイクロソフト
報告日 2004/11/16
対象環境 ISA Server 2000 SP1、SP2

 マイクロソフトは、MS04-039(ISA Server 2000およびProxy Server 2.0の脆弱性により、インターネット コンテンツのなりすましが行われる)として提供していた修正プログラムで、ISA Server 2000 SP1に必要な一部のファイルが収録されておらず、適用すると正常動作しなくなるという重大な問題があったことを公表し、この問題を解消した新しい修正プログラムの提供を開始した。またWindows 2000 Server SP3との組み合わせにおいて、修正プログラムの適用が行えない不具合も解消されている。

 対象はISA Server 2000 SP1およびSP2である。ただしISA Server 2000 SP2が正しく適用されている場合は再適用の必要はない。ISA Server 2000 SP1を利用しており、すでに旧版の修正を適用してしまったか、適用に向けて手元にダウンロードしてあるという場合は、更新版を入手する必要がある(すでに旧版を適用してしまった場合は新版を再適用する)。

 なお旧版と更新版でダウンロード先のURLおよび修正プログラムのパッケージ名は変わっていないので、誤って旧版の修正プログラムを利用しないように注意していただきたい。

 
[脆弱性回避]
IEのドラッグ&ドロップの脆弱性を回避する方法

情報の内容 IEの脆弱性を回避するための情報
情報ソース マイクロソフト
報告日 2004/11/4
対象環境 Internet Explorer

 前回のHotFix Briefingsで報告したIEのドラッグ&ドロップの脆弱性に対し、マイクロソフトは、脆弱性の影響を一時的に回避する方法をサポート技術情報で公開した。これはインターネット・ゾーンのWebページ上に配置されたイメージやメディア・ファイルをローカルにドラッグ・アンド・ドロップする場合の検証が十分ではなく、攻撃用スクリプトがローカル・コンピュータ・ゾーンで実行されてしまうというものである(この脆弱性に関する前回の記事)。Windows XP SP2付属のIE 6.0(IE 6.0 SP2)は対象ではないが、それ以前のIE 5.5やIE 6全般が脆弱性の対象になる。

 説明によれば回避方法は、(1)MS04-038(IEの累積的なセキュリティ更新)の修正プログラムを適用する、(2)インターネット・ゾーンおよびイントラネット・ゾーンででの「ファイルのドラッグ/ドロップ」または「コピー/貼り付け」を無効にするというもの。

 このように今回の回避策は、ドラッグ&ドロップの機能を制限するもので、あくまで一時的な回避策である。しかしユーザーが悪意のあるサイトを訪問し、攻撃を受ける危険があるなら、今回の回避策を講じておく価値はあるだろう。ただしドラッグ&ドロップの機能を制限すると、Webアプリケーションなどで不具合が生じる可能性があるので注意が必要である。

  
[新版ソフトウェア公開]
Virtual Server 2005日本語版がMSDNダウンロードにて公開開始

情報の内容 ソフトウェアの公開
情報ソース マイクロソフト
報告日 2004/11/15
対象環境 Windows 2000 Server/Windows Server 2003

 マイクロソフトは、ソフトウェアによりPCハードウェアをエミュレートし、ソフトウェアのテスト環境や古いサーバの移行を支援するソフトウェアVirtual Server 2005日本語版(VS 2005)を開発者向け有料情報サービスであるMSDNサブスクライバー・ダウンロードで公開を開始した(ただしダウンロードできるのはユニバーサルまたはエンタープライズ・サブスクリプションの購読者のみ)。このVS 2005は、すでに発売されているVirtual PC 2004のサーバ対応版で、ホストOSとしてWindows Server 2003に、ゲストOSとして各WindowsサーバOS(Windows NT Server 4.0、Windows 2000 Server、Windows Server 2003)に対応したもの 。VS 2005日本語版の製品はまだ発表されておらず、製品発表に先駆けてMSDNサブスクライバー・ダウンロードでの公開となった。

 VS 2005を利用すれば、パッチ適用テスト環境をVS 2005による仮想マシン上に構築し、パッチ適用による不具合の発生などを簡単に評価できるようになる。

 ただしVS 2005のMSDNサブスクライバー・ダウンロードでの公開は2004年11月15 日から2005年3月31日までの期間限定で、これ以後は公開されない。MSDNを購読しているユーザーは、早めにダウンロードしておこう。

 
[脆弱性情報]
IEに関する脆弱性情報

情報の内容 脆弱性情報
情報ソース マイクロソフト、ウイルス・ベンダ、セキュリティ情報サイト
報告日
対象環境 Internet Explorer

 IEに関する脆弱性情報がさまざまな情報ソースから開示されている。必ずしもすべてが正式に確認された脆弱性ではないが、修正プログラムが未提供の脆弱性として、現在明らかになっているものをまとめておく。リスク管理の参考にされたい。

■Cookieが上書きされる
 IE 6.0 SP1において、Cookie受け入れ時のPath属性の検証部分に脆弱性があり、攻撃者によってCookieの上書きが可能になる。

■ステータス・バーのURI表記が詐称される
 IEのステータス・バーへのURI表示機能に脆弱性があり、攻撃者によって本来のURIとは異なる表示がステータス・バーになされる場合がある。これは、サイトを詐称したフィッシング詐欺などに悪用される危険がある。Windows 95/98/Me、Windows NT 4.0、2000、XP(XP SP2)、Windows Server 2003に付属するすべてのIEが対象になっている。実証コードはすでに公開済みである。

 
[脆弱性情報]
XP SP2に多数の脆弱性?

情報の内容 脆弱性情報
情報ソース セキュリティ関連ベンダ
報告日 2004/11/10
対象環境 Windows XP SP2

 英国のセキュリティ・ベンダ、Finjan Software社は、XP SP2にセキュリティ上の多数の欠陥が見つかったと報告した。

 報告を受け、米Microsoftも真偽のほどを確認中だが、一部には「誇張や誤りがある」としており、必ずしもすべてが本当かどうか明らかになっていない。脆弱性情報の告知において、Finjan社が自社製品の宣伝を併せて行ったため、脆弱性情報の開示方法などを含めて物議を醸している。

 
そのほかの不具合情報、追加情報
 
関連記事
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間