Windows HotFix Briefings
(2006年3月10日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2006/03/10

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。
 
[修正プログラム情報]
マイクロソフト、Internet ExplorerのActiveXの処理方法を変更する修正プログラムを公開

情報の内容 修正プログラム情報
情報ソース マイクロソフト
報告日 2006/03/01
対象環境 Windows XP SP2、Windows Server 2003 SP未適用/SP1

 マイクロソフトは、Internet Explorer 6がActiveXコントロールを呼び出す際にメッセージを表示するように変更する修正プログラムを2006年3月1日に公開した。

 この修正プログラムは脆弱性や不具合の修正ではない。一説によれば、これは特許侵害の訴訟対策を目的としたもので、ユーザーにとっては慌てて適用する必要性は小さいと思われる。

 公開されたのは累積的な修正プログラムであり、MS05-054の修正内容を含む。そのため、この修正プログラムを適用すれば、MS05-054を適用する必要はない。Windows OSの自動更新では、この修正プログラムはインストールされないが、Windows Update/Microsoft Updateでは提供される(ただし明示的にインストールを指示する必要がある)。

 この修正プログラムを適用すると、例えば以下のような一般的なActiveXコントロールの呼び出しを行うWebサイトを閲覧する際に、「このコントロールをアクティブ化して使用するにはクリックしてください」というメッセージが表示される。

  • Adobe Reader
  • QuickTime Player
  • Flash Player
  • Windows Media Player
  • RealPlayer
  • Sun Java VM

 また、修正プログラムを適用することにより、以下のような不具合が発生する。

  • Googleツール・バーVer.3.0.129.2未満をインストールしている場合には、アクティブでないActiveXコントロールを含むウィンドウを閉じると、Googleツール・バーのアクセス違反が発生する。

  • Internet Explorerで[スクリプトのデバッグを使用しない]が無効になっている(スクリプトのデバッグを使用する)場合、外部スクリプトが機能しない。

  • Java Platform Standard Edition(J2SE) 1.3/1.4を使用して、アプレット・コントロールを実行するプログラムの中のActiveXアプレット・コントロールを1度クリックしても、フォーカスがアプレット・コントロールに移動しない。この問題はJ2SE 1.5では発生しない。

 これらはマイクロソフトが報告した既知の不具合だが、ほかにも発生する可能性がある。例えば業務アプリケーションで独自のActiveXコントロールを使用している場合などが考えられる。

 この修正プログラムを適用したコンピュータをMicrosoft Baseline Security Analyzer(MBSA)1.2でスキャンすると、MS05-049/054の修正プログラムを正しく検出できなくなる。MBSA 1.2はセキュリティ修正以外の更新プログラムをサポートしないため、必要のない修正プログラムの適用が必要、という内容の報告を続けるようになる。また、MBSA 1.2を使うSystems Management Server(SMS)2.0でも、この修正プログラムを適用すると正しく機能しないので、マイクロソフトはSMS 2.0で管理されているコンピュータに対してはこの修正プログラムの適用を推奨していない(SMS 2003では問題が発生しない)。

 次のInternet Explorerの累積的な修正プログラムでは、この修正プログラムが包含される予定なので、前述したとおり、適用を急ぐ必要はないだろう。管理者はこの修正プログラムを利用して、事前に十分な検証を行ったほうがよい。

■HotFix Report BBS関連スレッド

 
[脆弱性情報]
Shockwave Playerインストーラに任意のコードが実行される脆弱性

情報の内容 脆弱性情報
情報ソース Peter Vreugdenhil氏
報告日 2006/02/23
対象環境 Shockwave Player 10.1.0.11以前のActiveX型のインストーラ

 Peter Vreugdenhil氏は、Macromedia Shockwave PlayerのActiveXを用いたインストーラにバッファ・オーバーフローの脆弱性が存在すると報告した。

 Macromedia(現Adobe Systemsの一部門)は、2006年2月23日にShockwave Playerのインストーラを修正し、脆弱性を解消したと報告した。

 Shockwave Playerは、Macromedia Directorで作成したムービーやゲームなどのコンテンツを再生するためのプログラムである。Shockwave PlayerはActiveXコントロールを利用してインストールされる。今回報告されたのは、細工した非常に長い変数をこのインストーラに与えるとバッファ・オーバーフローが起こり、任意のコードが実行されるという脆弱性である。

 脆弱性はShockwave Playerではなく、Shockwave Playerのインストーラに存在する。そのため、現在Shockwave Playerをインストール済みのユーザーは、脆弱性の影響を受けないので、特に再インストールを行う必要はない。新たにAdobe SystemsのサイトからShockwave Playerをインストールする場合には、すでにインストーラの脆弱性が解消されているため攻撃を受ける心配はない。だが、Adobe Systems以外のサイトからインストールを開始する場合は、たとえ真正なデジタル署名がされていても、脆弱性のあるインストーラである可能性がある。今後Shockwave PlayerのインストールはAdobe Systemsのサイトか、信頼できるサイトからのみ行うようすべきだろう。

■HotFix Report BBS関連スレッド

 
そのほかの不具合情報、追加情報

[マイクロソフト]

 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間