Windows XP SP2で修正されるNTFS機能にメモリ・リークのバグがあり、メモリが枯渇してSTOPエラーが発生する不具合がある。

• Windows XP Service Pack2 ベースのコンピュータにおいて STOPエラーのメッセージを表示し停止することがあります（MSKB889255）
  

　NTFSのメモリ記述子リスト（MDL：Memory Descriptor List）タグで使用するメモリ・プール処理部分にメモリ・リークのバグがあり、メモリを使い切ってしまう。MDLは、Windows OSのメモリ管理システムが使用するコンポーネントで、NTFSはファイル・アクセスのキャッシング処理でこのMDLを使用しているものと思われる。詳細は不明だが、ファイルI/Oが頻繁に発生するシステムにおいて、XP SP2の適用以来STOPエラーが発生するなどの症状が起こった場合にはこの不具合を疑う必要があるだろう。

　マイクロソフトは、MS04-039（ISA Server 2000およびProxy Server 2.0の脆弱性により、インターネット コンテンツのなりすましが行われる）として提供していた修正プログラムで、ISA Server 2000 SP1に必要な一部のファイルが収録されておらず、適用すると正常動作しなくなるという重大な問題があったことを公表し、この問題を解消した新しい修正プログラムの提供を開始した。またWindows 2000 Server SP3との組み合わせにおいて、修正プログラムの適用が行えない不具合も解消されている。

• ISA Server 2000向けの新しい修正プログラムのダウンロード先
  

　対象はISA Server 2000 SP1およびSP2である。ただしISA Server 2000 SP2が正しく適用されている場合は再適用の必要はない。ISA Server 2000 SP1を利用しており、すでに旧版の修正を適用してしまったか、適用に向けて手元にダウンロードしてあるという場合は、更新版を入手する必要がある（すでに旧版を適用してしまった場合は新版を再適用する）。

　なお旧版と更新版でダウンロード先のURLおよび修正プログラムのパッケージ名は変わっていないので、誤って旧版の修正プログラムを利用しないように注意していただきたい。

　前回のHotFix Briefingsで報告したIEのドラッグ＆ドロップの脆弱性に対し、マイクロソフトは、脆弱性の影響を一時的に回避する方法をサポート技術情報で公開した。これはインターネット・ゾーンのWebページ上に配置されたイメージやメディア・ファイルをローカルにドラッグ・アンド・ドロップする場合の検証が十分ではなく、攻撃用スクリプトがローカル・コンピュータ・ゾーンで実行されてしまうというものである（この脆弱性に関する前回の記事）。Windows XP SP2付属のIE 6.0（IE 6.0 SP2）は対象ではないが、それ以前のIE 5.5やIE 6全般が脆弱性の対象になる。

• Internet Explorerのセキュリティ上の問題 "クリックとスクロール" からコンピュータを保護する方法（MSKB888534）

　説明によれば回避方法は、（1）MS04-038（IEの累積的なセキュリティ更新）の修正プログラムを適用する、（2）インターネット・ゾーンおよびイントラネット・ゾーンででの「ファイルのドラッグ／ドロップ」または「コピー／貼り付け」を無効にするというもの。

　このように今回の回避策は、ドラッグ＆ドロップの機能を制限するもので、あくまで一時的な回避策である。しかしユーザーが悪意のあるサイトを訪問し、攻撃を受ける危険があるなら、今回の回避策を講じておく価値はあるだろう。ただしドラッグ＆ドロップの機能を制限すると、Webアプリケーションなどで不具合が生じる可能性があるので注意が必要である。

　マイクロソフトは、ソフトウェアによりPCハードウェアをエミュレートし、ソフトウェアのテスト環境や古いサーバの移行を支援するソフトウェアVirtual Server 2005日本語版（VS 2005）を開発者向け有料情報サービスであるMSDNサブスクライバー・ダウンロードで公開を開始した（ただしダウンロードできるのはユニバーサルまたはエンタープライズ・サブスクリプションの購読者のみ）。このVS 2005は、すでに発売されているVirtual PC 2004のサーバ対応版で、ホストOSとしてWindows Server 2003に、ゲストOSとして各WindowsサーバOS（Windows NT Server 4.0、Windows 2000 Server、Windows Server 2003）に対応したもの 。VS 2005日本語版の製品はまだ発表されておらず、製品発表に先駆けてMSDNサブスクライバー・ダウンロードでの公開となった。

• MSDN会員向け「Microsoft Virtual Server 2005 特別提供キャンペーン」を期間限定で実施（ニュース・リリース）
  

　VS 2005を利用すれば、パッチ適用テスト環境をVS 2005による仮想マシン上に構築し、パッチ適用による不具合の発生などを簡単に評価できるようになる。

　ただしVS 2005のMSDNサブスクライバー・ダウンロードでの公開は2004年11月15 日から2005年3月31日までの期間限定で、これ以後は公開されない。MSDNを購読しているユーザーは、早めにダウンロードしておこう。

　IEに関する脆弱性情報がさまざまな情報ソースから開示されている。必ずしもすべてが正式に確認された脆弱性ではないが、修正プログラムが未提供の脆弱性として、現在明らかになっているものをまとめておく。リスク管理の参考にされたい。

■Cookieが上書きされる
　IE 6.0 SP1において、Cookie受け入れ時のPath属性の検証部分に脆弱性があり、攻撃者によってCookieの上書きが可能になる。

• A Possibility of Cookie Overwrite in Microsoft Internet Explorer（LAC／SNS）
  

■ステータス・バーのURI表記が詐称される
　IEのステータス・バーへのURI表示機能に脆弱性があり、攻撃者によって本来のURIとは異なる表示がステータス・バーになされる場合がある。これは、サイトを詐称したフィッシング詐欺などに悪用される危険がある。Windows 95／98／Me、Windows NT 4.0、2000、XP（XP SP2）、Windows Server 2003に付属するすべてのIEが対象になっている。実証コードはすでに公開済みである。

• Microsoft Internet Explorer Embedded Content Status Bar URI Obfuscation Weakness［英文］（SecurityFucus）

　英国のセキュリティ・ベンダ、Finjan Software社は、XP SP2にセキュリティ上の多数の欠陥が見つかったと報告した。

• Finjan Software（Finjan Software Warns of Ten New Vulnerabilities in Windows XP SP2）［英文］
  

　報告を受け、米Microsoftも真偽のほどを確認中だが、一部には「誇張や誤りがある」としており、必ずしもすべてが本当かどうか明らかになっていない。脆弱性情報の告知において、Finjan社が自社製品の宣伝を併せて行ったため、脆弱性情報の開示方法などを含めて物議を醸している。

• サポート技術情報 840669（Windows XP Service Pack 1 (SP1) または Service Pack 2 (SP2) を実行するコンピュータで、グループ ポリシーのスタートアップ スクリプトが正常に実行されない）：［Windows XP SP1／SP2］

• サポート技術情報 888866（Windows XP SP2 コンピュータをサーバーとして使用すると フォルダ参照の際に遅延が生じる）：［Windows XP SP2］

• サポート技術情報 842903（Internet Explorer のアドレス バーが表示されない）：［IE 6 SP1］

• サポート技術情報 838989（Windows XP または Windows 2000 で、電源をいったん切って再投入した USB デバイスが再検出されないことがある）：［Windows 2000］［Windows XP］

• サポート技術情報 817293（リモート デスクトップ接続で、リッスンしていないポートへのループバック接続が許可されない）：［Windows XP SP未適用／SP1／SP1a］

• サポート技術情報 834350（Windows XP でのネットワーク リソースへのアクセスが、以前のバージョンの Windows に比べて遅い）：［Windows XP］

• サポート技術情報 843143（Taskmgr.exe でエラーが発生する）：［Windows XP］

• サポート技術情報 870560（Windows XP ベースのコンピュータにセキュリティ更新プログラム MS04-016 をインストールするときにエラー メッセージが表示される）：［Windows XP SP未適用／SP1／SP1a］

• サポート技術情報 888925（マイクロソフト セキュリティ情報 MS04-032 に記載されているセキュリティ更新プログラムを適用後 Computer Associates Unicenter Software Delivery でエラーが発生することがある）：［Windows XP］

• サポート技術情報 889889（マイネットワーク上でコンピューターの項目が「不明」と表示される）：［Windows XP SP未適用／SP1／SP1a］

• ダウンロード・センター（Windows Installer 3.0 Redistributable - 日本語）：［Windows 2000 SP3／SP4］［Windows XP SP未適用／SP1／SP1a］［Windows Server 2003］
  ※Windows InstallerのバージョンをWindows XP SP2と同等の3.0に更新するためのインストール プログラム

• ダウンロード・センター（Exchange 2003 用 更新プログラム (KB883543)）：［Exchange Server 2003 SP1］［Windows 2000 Server］［Windows Server 2003］
  ※Outlook Web Access＋Windows XP SP2クライアントの組み合わせで生じる不具合を解消する修正プログラム

• ダウンロード・センター（Update for Microsoft Windows Server 2003 (KB883646) - 日本語）：［Windows Server 2003 SP0］
  ※ストレージ用デバイスドライバStorport.sysを更新する修正プログラム

• ダウンロード・センター（Office XP 入力システム更新プログラム: KB832668 (2004 年 11 月 10 日)）：［Office XP SP2／SP3］［Windows 2000］［Windows NT 4.0］
  ※Office XPのIMEを既定のIMEに設定できない不具合を解消する修正プログラム

• ダウンロード・センター（Office 2003 更新プログラム: 入力システムの拡張 (KB870774)）：［Office 2003 SP0／SP1］［Windows 2000］
  ※Office 2003のIME関連の不具合を解消するための修正プログラム