Windows HotFix Briefings Biweekly
(2003年10月10日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2003/10/10
2003/10/11 更新

このHotFix Briefings Biweeklyでは、HotFixの公開後に明らかになった問題点、不具合などの情報を隔週でまとめてお届けします。
 
[不具合情報]
Internet Explorer 6.0 SP1にアップグレードするとMS03-023の修正プログラム適用が無効になる

不具合の内容 バージョン・ダウン
情報ソース マイクロソフト
情報公開日 2003/10/06
MS Security# MS03-023
MSKB# 823559

 マイクロソフトは、MS03-023(「HTMLコンバータのバッファ オーバーランにより、コードが実行される」)の修正プログラムを適用した後に、Internet Explorer 6.0 Service Pack 1(以下IE6 SP1)にアップグレードすると、MS03-023で更新したファイルがバージョン・ダウンを起こし(古いファイルで上書きされてしまい)、結果としてMS03-023のセキュリティ・ホールが復活してしまうという問題を正式に報告した(以下のセキュリティ情報にある「警告」部分)。このセキュリティ・ホールは、攻撃者の任意のプログラム実行を許す危険がある最大深刻度「緊急」に該当するものである。

 従ってMS03-023の修正プログラムの適用後にIE6 SP1にアップグレードした場合には、再度MS03-023の修正プログラムを適用しなければならない。

■関連リンク

 
[追加情報]
MS03-040の修正プログラムを適用すると、JavaScriptがエラーを発生するようになる

不具合の内容 JavaScriptエラー
情報ソース マイクロソフト
情報公開日 2003/10/06
MS Security# MS03-040
MSKB# 827667

 攻撃者の任意のプログラム実行を許してしまう緊急のセキュリティ・ホールを解消するために提供されたMS03-040の修正プログラム(Internet Explorer 用の累積的な修正プログラム)には一部バグがあり、これを適用すると、本来は正しいJavaScriptがIEで実行時にエラーを起こしてしまう問題が明らかになった。つまりMS03-040の修正プログラムを適用すると、それまでは正しく動いていたスクリプトがエラーを起こすようになる。

 エラーが起こるのは、JavaScript内部でURLを相対指定している場合である。それまでのIEで相対URLが使用された場合、呼び出し側のURLを基準にして相対URLを評価していたが、これが呼び出された側のURLを基準として評価するように変更されてしまったからだ。これによりページ参照に失敗すると、「HTTP 404 - ファイル未検出」のエラーが発生する。

 この問題はMS03-040より前に報告されていたMS03-032の修正プログラムから発生している。このMS03-032の問題に対する827667の修正プログラム(IE6 SP1用のみ)は、すでに登場している。

 しかし、この修正プログラムがMS03-040の問題に対しても有効かどうかは、10月9日時点で特に記載されていない。従って、現時点でMS03-040によるこの問題を回避するには、Webサーバ側でJavaScriptの内容を修正し、絶対URL参照に変更するしかない。

 詳細は以下のマイクロソフトサポート技術情報を参照されたい。

 
[追加情報]
Windows Media Playerの更新で、修正プログラム適用が不可になる

不具合の内容 インストール・エラー
情報ソース Digital Advantage Lab
情報公開日 2003/10/10
MS Security# MS03-040
MS03-021
MSKB# 828026

 緊急のセキュリティ・ホールとして10月4日に公開されたIEの累積的な修正プログラム(MS03-040/828750)のセキュリティ情報では、このセキュリティ・ホールを悪用する攻撃からシステムを防御するために、Windows Media Playerに関する以下の更新を合わせて適用することを推奨している。

 しかしDA Labで調査した結果、この「サポート技術情報:828026」の修正プログラムを適用すると、Windows Media Player 9用修正プログラムであるMS03-021(Windows Media Playerの問題により、メディア ライブラリがアクセスされる)が適用できなくなることが判明した。これを適用しようとすると、

この更新は、Windows Media Player 9にのみ適用できます。Windows Media Player 9がインストールされていてもメッセージが表示される場合、お使いのバージョンにはすでにこの更新がインストールされています。

というエラー・メッセージが表示され、修正プログラムの適用処理が終了してしまう。

 調査の結果、MS03-021の修正プログラム(WindowsMedia9-KB819639-x86-JPN.exe)の適用で更新されるファイルは、サポート技術情報:828026と同じwmp.dllであった。両者のファイル・バージョンを比較したところ、MS03-021は「9.0.0.3008」、サポート技術情報:828026は「9.0.0.3075」であり、サポート技術情報:828026の方が新しい。このことから、サポート技術情報:828026の修正プログラムは、MS03-021の修正を包含していると考えられる。

 ただしマイクロソフトからは、10月9日時点でこの依存関係に関する情報は提供されていない。

■関連リンク

 
[追加情報]
MS03-040の修正プログラム適用で別の修正プログラムが無効になる

不具合の内容 バージョン・ダウン
情報ソース Digital Advantage Lab
情報公開日 2003/10/10
MS Security# MS03-040
MSKB# 818857

 IE6 SP1では、MIMEタイプのファイル・アタッチメントの表示方法が従来(IE6以前)から変更された。具体的には、従来のIE6以前では、ファイルをキャッシュにダウンロードする前に、表示用のカスタムActiveXコントロールのインスタンスを生成していた。これに対しIE6 SP1では、ActiveXコントロールのインスタンス生成前にファイルがすぐにキャッシュにダウンロードされるように変更された。このため、特にサイズの大きなファイルの表示処理で大幅な性能低下を招くようになってしまった。詳細はこの問題に関する以下のサポート技術情報を参照されたい。

 この問題の修正プログラムは広く一般には公開されていないが、マイクロソフトに問い合わせることで入手が可能だ。この修正プログラムの適用により、システム・ファイルの「urlmon.dll」が更新される(バージョンは「6.0.2800.1267」)。

 しかしこの「urlmon.dll」ファイルは、IEの累積的な修正プログラムであるMS03-040でも更新される。IE6 SP1向けのMS03-040の修正プログラムに含まれるurlmon.dllのファイル・バージョンを調査したところ「6.0.2800.1259」と、サポート技術情報:818857で提供されるものよりも古いバージョンであった。従って特殊なケースではあるが、上記サポート技術情報:818857の修正を加えた後にIE6 SP1向けのMS03-040の修正プログラムを適用すると、urlmon.dllファイルのバージョン・ダウンが発生することがあるので注意が必要である。DA Labでは、Windows 2000とWindows XPでバージョン・ダウンが発生することを確認している。なお、Windows NT 4.0ではこの現象は発生しなかった。

 
[追加情報]
修正プログラムの適用によって発生する問題の一覧

 マイクロソフトは、IEやWindowsに修正プログラムを適用した際に発生する既知の問題に関するサポート技術情報一覧を公開した。

 修正プログラムの適用後に何らかの不具合が発生したときには、まずはこのページから情報を検索するとよいだろう。

 
更新履歴
【2003/10/11】当初は英文のみ公開されていたサポート技術情報(818857)の日本語版が公開されたため、リンク先を日本語版のページに更新しました。

 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間