マイクロソフトは、毎月第2水曜日（米国時間は第2火曜日）に公開している月例のセキュリティ修正プログラム を、9月分についてキャンセルした。9月8日の時点で「緊急」レベルの修正プログラム1件の公開を予定していたが、リリースを見送った。

　以下の「マイクロソフト セキュリティ情報の事前通知」によれば、修正プログラムの最終テストの過程で、さらなる開発作業とテストを要する品質問題を発見したためとしている。

• マイクロソフト セキュリティ情報の事前通知
  （ただし、このページの情報は常に最新版に更新されるので、今回の情報はまもなく削除される）

　次回の月例アップデート予定は、米国時間で10月11日（火）である。

■セキュリティBBS関連スレッド

• 2005年9月の月例セキュリティ事前通知（HotFix Report BBS）

　マイクロソフトは、Windows 2000 SP4向け更新プログラム ロールアップ1（以下UR1）の不具合を解消した更新版の提供を開始した。UR1は、Windows 2000 SP4用に、2005年6月までの既知の不具合とセキュリティ上の重要な問題を解消するもので、初期版は2005年6月29日から提供が開始されていた。しかしこの当初公開されたバージョンでは、以下のような多数の不具合が確認されていた。

HotFix Briefings 7月8日版 HotFix Briefings 7月22日版

• Windows Update／Microsoft Updateに接続すると「MSXML3.DLL ファイルが見つかりません」などのエラー・メッセージが表示されるようになる

• コンピュータを再起動すると「Stop 0x000001E」エラーが表示されるようになる

• ダイナミック・ディスクを使用するコンピュータでシステム・ドライブが2つ表示されるようになる

• Officeでフロッピー・ディスクにファイルが直接保存できなくなる

　6月29日版UR1の適用により発生する不具合の詳細については、以下のセキュリティ関連掲示板のスレッドが詳しい。

• Windows 2000 SP4 ロールアップ 1不具合情報（HotFix Report BBS)

　システムがハングアップするなどの重大な問題が含まれていたため、いったんインストールしたUR1をアンインストールしたユーザーも多かったようだ。

　6月29日に公開されたバージョンのUR1をすでに適用している場合でも、今回公開された更新版のUR1を適用できる。ただし、以下の不具合については、更新版のUR1では解消されず、別個の修正プログラムが提供される予定だ。

• ICAセッションを持つCitrixサーバ接続にできなくなる

• Exchange Server 5.5がX.400コネクタを介してメールを転送しなくなる

　また以下の不具合についてマイクロソフトは、各ソフトウェア・ベンダで公開されている方法により問題を解消できる、としている。

• Sophos Anti-Virus for Windows 5を使用していると、ネットワーク・ログオンに時間がかかるようになる

• Internet Security Systems製品が起動しなくなることがある

　なお、UR1では多くのファイルが置き換わるため、適用することにより、環境によっては未報告の不具合が発生する可能性がある。パッチの適用にあたり、事前に十分な検証を行ってから適用した方がよい。

■関連情報

• サポート技術情報 891861（Windows 2000 Service Pack 4 対応の更新プログラム ロールアップ 1 と既知の問題）

■セキュリティBBS関連スレッド

• Windows 2000 SP4 ロールアップ 1 更新版 (v2) がリリース（HotFix Report BBS）

　WebDAVプロトコルでExchange 2000 Server上のアイテムやフォルダにアクセスした場合、PROPFINDメソッドが返すPR_ACCESSプロパティが読み出し専用になってしまう不具合を解消する修正プログラムが公開された。

　この問題は、Exchange 2000 Server上のアイテムやフォルダにアクセスした際、WebDAV経由では、PR_ACCESSプロパティの値が常に読み出し専用になってしまうというもの。WebDAVプロトコル経由の場合、アイテムやフォルダにアクセスした権限に関係なく、PROPFINDメソッドの戻り値であるPR_ACCESSが常に「2」（Read）になるため、本来のアクセス権限が正しく適用されない。Exchange Server 2003では、WebDAV経由でアクセスした場合、EcGetProps()関数の戻り値であるPR_ACCESSが「2」（Read）になるため、本来のアクセス権限が正しく適用されない。

　この問題を解消する修正プログラムは、以下のページで公開されている。Exchange 2000 ServerをWebDAV経由でアクセスしており、アクセス権に関する障害が発生している場合には、修正プログラムを適用することで障害が解消できる。

■関連情報

• The value for the PR_ACCESS property that is returned from a WebDAV PROPFIND method is always MAPI_ACCESS_READ (read-only) in Exchange 2000（マイクロソフト）［英語］

• The value for the PR_ACCESS property that is returned from the DAV PROPFIND method is always read-only in Exchange Server 2003（マイクロソフト）［英語］

■セキュリティBBS関連スレッド

• Exchange 2000 / 2003 の DAV 関連の問題を解消するための修正プログラムがリリース（HotFix Report BBS）

　セキュリティ・ベンダのSecurityFocusは、Windowsのキーボード・イベント処理の設計ミスにより特権昇格が行われてしまう脆弱性について発表した。

　デスクトップ・アプリケーションがkeybd_event()関数から送られたキーボード・イベントを制御する際の処理に問題があるという。悪意あるアプリケーションが、例えばexplorer.exeなど、より高いユーザー権限で動作しているプログラムにキーボード・イベントを送信できる。そのため、アプリケーションを実行している ユーザー権限よりも高い権限で任意のリモート・コードを実行できてしまう危険性がある、としている。実行条件などについての詳細は明らかにされていないが、実証コードがすでに公開されている。

• Microsoft Windows Keyboard Event Privilege Escalation Weakness（SecurityFocus）［英文］

［マイクロソフト］

• サポート技術情報 907345（FTP データ転送終了直後にデータ コネクションがRST パケットで切断される）：［Windows 2000 Server］

• ダウンロード・センター（Windows Messenger 5.1）：［Windows Messenger 5.1］
  ＃セキュリティの向上と動画再生の不具合の解消を行った新バージョン5.1.0701

［セキュリティBBS］

• エラー 0x8DDD0007 で Windows Update ができない：［Windows Server 2000 SP4］（HotFix Report BBS）