Office 2003 SP2は、Office 2003 SP1を包含しているので、まだSP1を適用していないなら、今回のSP2だけを適用すればよい 。

　Office 2003 SP2では新たに、「Outlook迷惑メール・フィルタ」と組み合わせて使用するフィッシング詐欺防止機能が追加された。これらを併用することにより、電子メールを悪用した個人情報窃取のリスクを低減できるとしている。最新の「Outlook迷惑メール・フィルタ」がインストールされた環境にOffice 2003 SP2を適用すると、このフィッシング詐欺防止機能が自動的に有効になる。

• Outlook 2003 迷惑メール フィルタ2005年9月版について（MSKB 904631）
• 最新のMicrosoft Office Outlook 2003迷惑メール フィルタ更新プログラムの入手方法（MSKB 872976）

　名刺管理など、個人向けビジネス・コンタクト管理支援製品であるInterConnect 2004 SP2では、Outlookのメッセージ・フォームに名刺の添付や保存のためのボタンが追加されるなどの新機能も追加されている。

　ただしマイクロソフトは、Windowsインストーラ Ver.3.0を使用している場合に、Office 2003 SP2のインストールに失敗する現象を報告しているので適用時には注意すること。この問題を回避するには、Windowsインストーラを最新バージョン（3.1 v2）に更新してからOffice 2003 SP2を適用する。

• Office 2003 Service Pack 2 のインストール時にエラー メッセージ "Windows インストーラ サービスでアップグレード修正プログラムをインストールできません" が表示されるか、セットアップ プログラムの実行が完了せず、通知が表示されない（MSKB 906323）

　例えば、Windows XP（SPなし、SP1、SP2のいずれか）とOffice 2003 SP1をインストールした直後に、（Windows Updateサイトからリンクされている）［Officeのアップデート］を選んで実行しても、この制限により、Office 2003 SP2のインストール作業が失敗することがある。これを解決する簡単な方法は、（Windows Updateの後継である）Microsoft Updateを実行・インストールすることである。するとWindowsインストーラがVer.3.1に更新される。なおWindowsインストーラのバージョンは、［スタート］メニューの［ファイル名を指定して実行］で「msiexec」と入力して、引数なしで実行すると確認できる。バージョン表記が「V 3.01.XXXX.XXXX（Xは任意の数字）」ならばVer.3.1である。

■HotFix Report BBS関連スレッド

• Office 2003 SP2 がリリース
• Visio 2003 SP2 がリリース
• Project 2003 シリーズの SP2 がリリース
• OneNote 2003 SP2 がリリース
• InterConnect 2004 SP2 がリリース

　AKsecurityのAmit Klein氏は、IEのXmlHttpRequestオブジェクト処理に脆弱性が存在することを報告した。この脆弱性により、リファラ詐称（直前に見ていたWebページのアドレスを改ざんすることにより、掲示板システムなどにスパムメッセージを投稿し続ける攻撃）や、HTTPリクエスト・スマグリング攻撃（HTTPプロキシに本来のページ内容とは異なるURL情報をキャッシュし、悪用しようとする攻撃）などを受ける危険性がある。XmlHttpRequestオブジェクトは、Google Mapsの実装技術などとして現在注目されているAJAX（Asynchronous JavaScript And Xml：エイジャックス）のコア・コンポーネントである。

枯れた新しいUI革命「Ajax」をASP.NETで活用する

　具体的には、Microsoft.XMLHTTPというActiveXコントロールのopen( )ファンクションがHTTPリクエストの内容を十分に検証していないために起こる。タブや改行コードにより細工したHTTPリクエストをこのActiveXコントロールに処理させることで攻撃が可能だとされる。このため、HTTPプロキシがタブや改行コードを含んだHTTPリクエストを許容しない場合は影響を受けない。

　現在のところ、マイクロソフトは、この脆弱性に対する正式な報告や修正プログラムは提供していない。ただしセキュリティ情報サイトで詳細な報告がなされていることから、この脆弱性が悪用される危険性が高まっている。信頼できるサイトだけに接続する、コンテンツ・フィルタリングで信頼できるサイト以外への通信を拒否するなど、運用レベルでの注意を要する。

■関連情報

• Exploiting the XmlHttpRequest object in IE［英語］（Bugtraq）
• Microsoft Internet Explorer "XMLHTTP" HTTP Request Injection［英語］（Secunia）

　マイクロソフトが毎月無償公開している「悪意のあるソフトウェアの削除ツール」の10月公開版（10月12日公開予定）では、P2Pソフト「Winny」を媒介して感染を広げているウイルス「Antinny」に対応し、これを検出／削除できるようにする、とマイクロソフトは10月4日に開催されたSecurity Summit 2005 Fallで発表した。「悪意のあるソフトウェアの削除ツール」は、代表的なウイルスやワームを検出／削除するためのツールである。これまでツールでは、マイクロソフト製品に感染するウイルスのみを対象としてきたが、マイクロソフト以外の製品に感染するウイルスに対応するのは今回が初めて。公開後はWindows Updateやダウンロード・センターなどから入手して利用できる。なお10月12日には、マイクロソフトの月例セキュリティ更新も公開される予定だ。

　Antinnyは、PCの中のフォルダを勝手にWinnyの公開フォルダにするなどしてアップロードしてしまうウイルスで、亜種も確認されている。ただし本ツールでAntinny（あるいはその亜種）を検出／駆除するには、Antinnyが動作しているときに「悪意のあるソフトウェアの削除ツール」を実行した場合だけである。「悪意のあるソフトウェアの削除ツール」は、主に個人ユーザーを対象に、あくまで最悪の事態を回避するための補助ツールである。本格的なウイルス対策ソフトウェアを導入しておくことが望ましい。

■関連サイト

• 悪意のあるソフトウェアの削除ツール（マイクロソフト）

■HotFix Report BBS関連スレッド

• MSが他社製ファイル交換ソフト用のウイルス対策ソフトを公開？

　Mozilla Foundationは、ブラウザFirefoxとFirefoxを含むMozilla Suiteの既知の脆弱性および不具合を修正したMozilla Firefox 1.0.7とMozilla Suite 1.7.12を公開した。修正された脆弱性と不具合は以下の通り。

• ソフトハイフンを利用した IDN 処理過程におけるヒープオーバーラン
• Firefox 1.0.7 および Mozilla Suite 1.7.12 で修正された複数の脆弱性
• コマンドライン処理を通じたシェルの実行 (Linux 版のみ)

　MFSA2005-58として報告されている修正内容にはIEのXMLHttpRequestオブジェクトの脆弱性（前述）と同様の問題のほか、スペース文字で終わるXBM形式の画像を処理する際にバッファ・オーバーランを起こす、JavaScriptの整数値がオーバーフローを起こす、スキーマの処理の脆弱性により特権昇格が起こる、スタート・ページなどに使われるChromeウィンドウが乗っ取られる、といったセキュリティ的な問題も含まれる。

■参考情報

• Known Vulnerabilities in Mozilla Products［英語］（Mozilla Foundation）
• Mozilla Browser/Firefox Arbitrary Command Execution Vulnerability［英語］（SecurityFocus）
• Firefox Command Line URL Shell Command Injection［英語］（Secunia）

■HotFix Report BBS関連スレッド

• Mozilla Browser／Firefoxで任意のコマンドが実行される

　マイクロソフトは、セキュリティによるビジネス上のリスクを診断するツール「Microsoft Security Assessment Tool Version 2.0（インターナショナル版）」を公開した。これは、「中規模企業のためのセキュリティ リスク自己診断ツール」として以前公開されていた無償ツールのバージョン・アップ版に位置付けられるもののようだ。

• マイクロソフト セキュリティ アセスメント ツール（マイクロソフト）

　このツールは、従業員1000人未満の組織を対象に、現在のITセキュリティ状況を自己評価し、弱点を整理した上で、セキュリティ向上のプランニングやリスク低減策を管理者が計画するための指針を提供することを目的としている。ツールをインストールするには、.NET Framework 1.1が必要である。

　ツールを起動すると、一連の質問が表示され、これらに選択肢から答えていくことで結果が得られる。結果は「アプリケーション」、「人的要素」などのカテゴリごとに採点される。ただし自己評価を目的としたツールなので、MBSA（Microsoft Baseline Security Analyzer）のようにマシン個々の状態をスキャンする、といった技術的な処理は行わない。

■関連記事

• Microsoft Baseline Security Analyzer 2.0日本語版

■［HotFix Report BBS関連スレッド

• マイクロソフト セキュリティ アセスメント ツール

　マイクロソフトは、Windows SharePoint Services SP2の提供を開始した。SP2では、SP1およびSP1公開以後に公開された既知の不具合と多数の未報告の不具合などが修正されている。

　ただし、このSP2をインストールする際に発生する可能性のある問題、注意点が2つ報告されている。適用の前に目をとおしておこう。

• Windows SharePoint Services Service Pack 2 をインストールすると、エラー メッセージ "このサーバーは Microsoft Windows Server 2003 以降のオペレーティング システムで実行されていないため、Microsoft Windows SharePoint Services 2.0 をインストールできません" が表示される（MSKB 906896）

• Web ファームで Windows SharePoint Services を実行しているすべての Web サーバーを更新する必要がある（MSKB 875358）

■HotFix Report BBS関連スレッド

• Windows SharePoint Services SP2 がリリース

　日本アイ・ビー・エムは、特定の条件の下でLotus Notesクライアントの特定のバージョンにおいてドラッグ＆ドロップに不具合があることを発表した。具体的には、文書にファイルをドラッグ＆ドロップで添付し、そのファイルを削除した場合に、実際には添付ファイルが文書に残留してしまうという。このようにして作成した文書をインターネットで送信した場合、意図しないファイルを送信してしまい、結果として外部に機密情報が漏えする危険性がある。同社では、削除されているはずの添付書類を含む文書があるかを検出するためのツールを公開している。

• LinkAttach Tool version 1.6 の使い方（日本アイ・ビー・エム）

■関連サイト

• Lotus Notesクライアントのファイル添付不具合について（日本アイ・ビー・エム）
• ドラッグ＆ドロップで文書にファイルを追加すると、アイコンとの関連付けが切れている添付ファイルが生成されることがある（日本アイ・ビー・エム）

　マイクロソフトは、Windows 2000 SP4更新プログラム ロールアップ1（以下UR1）環境で、Officeからフロッピー・ディスクに文書を保存しようとすると応答が停止する不具合に対する修正プログラムの提供を開始した。

HotFix Briefings 7月8日版 HotFix Briefings 7月22日版 HotFix Briefings 9月23日版

　UR1は、初期版が2005年6月29日にリリースされたものの、多数の不具合が報告されていた。Officeアプリケーションでフロッピー・ディスクに直接保存できない、という問題もその1つだった。修正プログラムは以下のページから入手できる。修正プログラムの適用を有効にするには、インストール後にシステムの再起動が必要である。

• Office プログラムは、インストールされた Windows 2000 SP4 に 更新 ロールアップ 1 を持っている Windows 2000 ベースのコンピュータでフロッピー ディスク ドライブに新しいファイルを保存すると、応答を停止することがあります。（MSKB 904368）

　ただし、Windows 2000 SP4 UR1の更新版（v2）として9月13日に公開されたバージョンには、この修正が包含されている。従ってv2をすでにインストールしているなら、この修正を単独で適用する必要はない。

　そのほかにも、UR1の不具合として「マイ・コンピュータのドライブのアイコンにファイルをドロップできない」というものもあるが、こちらの修正プログラムについてはマイクロソフトに直接問い合わせる必要がある。

• MS05-008（KB890047）のインストール後、マイ コンピュータのドライブのアイコンにファイルのドロップができない（MSKB 894968）

■HotFix Report BBS関連スレッド

• Re: パッチ適用を検出するためのレジストリ キー

　シマンテックは、「Symantec AntiVirus Scan Engine」にバッファ・オーバーフローの脆弱性があることを公表した。Symantec AntiVirus Scan Engineは、サードパーティが、Symantecの検出エンジンを外部から呼び出し、利用するためのWebサービス・インターフェイスを提供している。これにバッファ・オーバーフローの脆弱性があり、悪用されると攻撃者によってリモート・コードがシステム権限で実行される危険がある。

• Symantec Antivirus Scan Engine: Web Service Administrative Interface Buffer Overflow［英語］

　問題は、このWebサービスによるHTTPリクエストの検証が不十分であるために起こる。細工されたHTTPリクエストを処理すると、管理用ポートが開いてしまい、任意のコードを実行される危険を招く。

　シマンテックは、この脆弱性を解消する各製品向けのアップデート・モジュールを公開している（上記ページより入手可能）。対象製品の利用者は、これらを早期に適用したほうがよい。また同社では、アップデート・モジュールを適用できない場合には、信用できるアドレス以外からのTCP 8004番ポートへの着信を拒否するなどの回避策を紹介している。

■関連サイト

• Symantec AntiVirus Scan Engine Web Service Buffer Overflow Vulnerability［英語］（iDEFENSE）

■HotFix Report BBS関連スレッド

• Symantecのアンチウイルス検出エンジンにバッファオーバーフローの脆弱性

　シマンテックは、「VERITAS Storage Exec」のDCOMサーバにバッファ・オーバーフローの脆弱性があることを公表した。

• VERITAS Storage Exec DCOM サーバーにバッファ オーバーフローの脆弱性

　この脆弱性が悪用されると、ログオン・ユーザーの権限でファイルがダウンロードされ、実行されてしまう。

　同社では修正プログラムの適用を推奨しているが、もし適用できない場合には、最小限のユーザー権限で製品を動作させる、ファイアウォールなどを適切に運用する、信頼できるサイトにのみ接続する、といった運用レベルでの対策を推奨している。

■関連サイト

• Veritas Storage Exec Multiple Remote DCOM Buffer Overflow Vulnerabilities［英語］（SecurityFocus）
• VERITAS Storage Exec DCOM Server Buffer Overflow Vulnerabilities［英語］（FrSIRT）

■HotFix Report BBS関連スレッド

• VERITAS Storage ExecのDCOMサーバにバッファ・オーバーフローの脆弱性

• PPT2002/2003 アニメーション GIF を使用すると CPU 使用率が上がる（MSKB 907839）

• CD 書き込み時のファイルの更新日時について（MSKB 908375）

• Javascript で submit が繰り返される（MSKB 908498）

• Javascript で onKeydown イベントを取得できない（MSKB 908495）

• ポリシー エージェント IPSec を更新するホットフィックスは、 Windows Server 2003 と Windows XP が使用できます（MSKB 907865）（機械翻訳）
  ＃IPSecポリシー・エージェントの不具合修正プログラムの提供

• Outlook 2003 迷惑電子メール フィルタ 更新の説明: 2005年 September（MSKB 904631）（機械翻訳）

• 外部のタイムソースと時刻の誤差が生じる場合がある（MSKB 908288）