Windows HotFix Briefings Biweekly
(2003年12月5日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2003/12/05

このHotFix Briefings Biweeklyでは、HotFixの公開後に明らかになった問題点、不具合などの情報を隔週でまとめてお届けします。
 
[不具合情報]
MS03-048の適用により、Internet Explorerの画面スクロールが不正になる

不具合の内容 機能不全
情報ソース マイクロソフト
情報公開日 2003/11/06
MS Security# MS03-048
MSKB# 824145(脆弱性)
832270(障害)
対象環境 IE 5.01(SP2/SP3/SP4)
IE 5.5 SP2
IE 6(SP未適用/SP1)
IE 6 for Windows Server 2003

 マイクロソフトは、2003年11月12日に緊急のセキュリティ・ホールとして提供を開始した「TechNetセキュリティ情報:MS03-048(クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet Explorer用の累積的な修正)」の修正プログラムを適用すると、Internet Explorer(IE)の画面スクロールが不正になる不具合が発生することを明らかにした。

■障害の内容

 不具合はIEのスクロール・バーの空白部分をマウスでクリックしたときに発生する。本来はこの動作により、1ページ分ずつ上または下にスクロール表示されなければならないが、次のような不具合が発生する。

  • 1ページ分スクロールするはずが、2ページ分スクロールしてしまう。

  • ウィンドウ内の一部を選択した状態でスクロールすると、選択範囲が解除されてしまう。

 原稿執筆時点(2003年12月04日現在)では、この不具合に対する修正プログラムは提供されていない。

 不具合の回避方法として、マイクロソフトは、マウスではなく[Page Up][Page Down]キーを利用したページ・スクロールや、上下のカーソル移動キーを利用した画面のスクロール操作を提案している。これ以外にも、スクロール・バーの真中の部分(つまみ部分)をドラッグするか、バーの上下端の矢印ボタンの部分をクリックしたり、マウスのホイールを回転させてスクロールさせたりする、などの方法も有効である。

 だが、スクロールの挙動が少し変わるからといって、緊急性の高いMS03-048の修正プログラムの適用時期を延期するのは危険だ。すでにこのセキュリティ・ホールについては、10種類以上のエクスプロイト・コード(セキュリティ・ホールの存在を立証するプログラム・コード。これを悪用すると、攻撃用プログラムを作ることもできる)がインターネットなどで公開されているからだ。マイクロソフトからこの問題に対応した修正プログラムが提供されるまでは、不具合の回避方法を考慮しつつ、早期にMS03-048の修正プログラムを適用する必要がある。

 またマイクロソフトによれば、「サポート技術情報:827667([IE] Q822925 または Q828750 を適用すると相対 URL を使用したスクリプトで HTTP 404 エラーが発生する)」で提供されている修正プログラム(q827667.exe)を適用しても、このMS03-048と同様の不具合が発生するとしている。

 
[不具合情報]Windows 2000にMS03-048を適用すると、エクスプローラの「関連項目」リンクが機能しなくなる

不具合の内容 機能不全
情報ソース マイクロソフト
情報公開日 2003/11/20
MS Security# MS03-048
MSKB# 824145(脆弱性)
832547(障害)
対象環境 Windows 2000に以下のIEをインストールした環境
IE 5.01(SP2/SP3/SP4)/IE 5.5 SP2/IE 6 SP1

 マイクロソフトは、11月12日に緊急のセキュリティ・ホールとして提供を開始した「TechNetセキュリティ情報:MS03-048(クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet Explorer用の累積的な修正)」をWindows 2000環境に対して適用すると、エクスプローラの「関連項目」のリンク([デスクトップ][マイ ドキュメント][マイ コンピュータ]など)が機能しなくなる不具合が発生することを明らかにした。

■障害の内容

 繰り返しになるが、この不具合が発生するのはWindows 2000環境のみである。Windows 2000のエクスプローラの[フォルダ オプション]で[Webの表示]を[フォルダでWebコンテンツを使う]に設定していると、下の画面のように、ウィンドウの左側に[関連項目]のリンクが表示される。本来、これらのリンクをクリックすることで、各フォルダに移動できるのだが、このリンクが機能不能になり、クリックしても移動しなくなる。

 原稿執筆時点(2003年12月04日現在)では、この不具合に対する修正プログラムは提供されていない。

エクスプローラの[関連項目]リンク
エクスプローラでフォルダの表示方法としてWebコンテンツ表示を行っている場合には、ウィンドウの左側に[関連項目]リンクが表示される。
  Windows 2000ではこれらのリンクが機能しなくなる(クリックしても何も起こらない)。
 
[追加情報]「MS03-050をExcel 97に適用すると郵便番号変換ウィザードが機能しなくなる」の不具合を回避する方法

情報の内容 機能不全の解消
情報ソース セキュリティ関連メーリング・リスト/マイクロソフト
情報公開日
MS Security# MS03-050
MSKB# 831527
対象環境 Excel 97

 前回の本記事(HotFix Briefings Biweekly 11月21日版)で解説した「MS03-050をExcel 97に適用すると郵便番号変換ウィザードが機能しなくなる」の不具合を解決する方法が、セキュリティ関連メーリング・リストやマイクロソフトから公開された。

 これは11月12日に公開された「TechNetセキュリティ情報:MS03-050(Microsoft Word/Excelのマクロの脆弱性により、任意のコードが実行される危険性)」の修正プログラムをExcel 97に対して適用すると、郵便番号変換ウィザードを起動時に「マクロが無効である」というエラー・メッセージが表示され、郵便番号変換ウィザードが機能しなくなるという不具合である。

■解決方法

 セキュリティ関連メーリング・リストに投稿された解決方法は次のとおりである。

  1. %ProgramFiles%\Microsoft Office\Office\Libraryにインストールされている「ZIPCODE7.xla」を直接ダブルクリックする。

  2. マクロを有効にするかどうかを問い合わせるダイアログ・ボックスが表示されるので、[有効にする]ボタンをクリックする。

 以上で郵便番号変換ウィザードが使用可能になる。DA Labで検証した結果、この方法で正しく郵便番号変換ウィザードを起動できることを確認した。

 マイクロソフトが「TechNetセキュリティ情報(MS03-050):よく寄せられる質問」として公開している方法は以下のとおりである。

  1. Excel 97の[ツール]−[オプション]メニューを選択する。

  2. [全般]タブをクリックする。

  3. [マクロ ウイルスから保護する]チェック・ボックスをオフにし、[OK]ボタンをクリックする。

  4. Excel 97を再起動する。

 ただしこの方法で[マクロ ウイルスから保護する]チェック・ボックスをオフにすると、マクロ・ウイルスに関する警告のメッセージが表示されなくなるため、マクロ・ウイルス感染のリスクが増大するので注意が必要である。

 なお、前挙の「TechNetセキュリティ情報(MS03-050):よく寄せられる質問」によれば、Lookupウィザードや条件付き合計式ウィザードなどもこの不具合の対象だとしている。

 
[追加情報]MS03-048を適用しても解消されないInternet Explorerの脆弱性の回避策

情報の内容 脆弱性の解消
情報ソース セキュリティ関連サイト/DA Lab
情報公開日
MS Security# MS03-050
MSKB# 831527
対象環境 IE 5.01(SP2/SP3/SP4)
IE 5.5 SP2
IE 6(SP未適用/SP1)
IE 6 for Windows Server 2003

 セキュリティ関連の掲示板での情報によれば、11月12日に緊急のセキュリティ・ホールとして提供が開始された「TechNetセキュリティ情報:MS03-048(クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet Explorer用の累積的な修正)」の修正プログラムを適用しても、解消されない脆弱性が存在することが報告されている。これらの脆弱性を回避するには、IEでActiveXコントロールやスクリプトの実行を制限するなどの設定変更を行う必要がある。

■詳細

 米国のセキュリティ関連メーリング・リストとして多くのユーザーが情報交換している「BugTraq」において、11月25日にLiu Die Yu氏(中国のセキュリティ研究者)がIEの脆弱性に関する新たな7種類の実証コードを公開した。このように実証コードが公開されていながら、いまなお修正プログラムが提供されないものを含めると、IEについては現時点で19種類の脆弱性が存在することになる。

 これらの実証コードのいくつかについて、DA Labで実際に影響と攻撃の防御策を検証してみた。その結果、ActiveXコントロールとスクリプトの実行を制限することが有効であることを確認した。

 具体的には、IEの[ツール]−[インターネット オプション]−[セキュリティ]タブで、インターネット・ゾーンとイントラネット・ゾーンのそれぞれで[レベルのカスタマイズ]を実行し、「ActiveXコントロールとプラグイン」と「スクリプト」にある全設定を「無効にする」か「ダイアログを表示する」に変更する。「無効にする」に設定した方が安全性は高いが、こうするとWebアプリケーションとして作成された業務アプリケーションなどが正しく動作しなくなる可能性があるので注意すること。

 また、IEによる不正なプログラムのダウンロードや不正なアクセスを検知可能なウイルス対策ソフトウェアを導入することで、いくつかの脆弱性への攻撃を回避できることが分かった。現在販売されているウイルス対策ソフトのほとんどはこうした機能を持っている。

 
[追加情報]マイクロソフトが、Windows NT Workstation 4.0、Windows 2000 SP2向け修正プログラム・サポートの延期を正式にアナウンス

 マイクロソフトは、従来は2003年6月をもって、セキュリティFIXを含むすべての修正プログラム提供を終了すると説明していたWindows NT Workstation 4.0およびWindows 2000 SP2向けの修正プログラム提供時期を、2004年6月30日まで延期することを正式に公表した。ただしWindows NT Workstation 4.0で対象になるのは、最新のService PackであるSP 6aを適用した環境のみである。

 これらの環境に対する修正プログラムは、2003年6月末をもっていったん提供を終了した後、10月から提供を再開していた。ただし少なくとも現時点では、2003年7月から9月までに公開された修正プログラムについては、さかのぼって修正プログラムは提供されていない(MS03-026やMS03-039など一部を除く)。つまり、3カ月ほどの空白期間があるということだ。修正プログラムの提供が延期されたことで、ユーザーはWindows NT Workstation 4.0 SP6aおよびWindows 2000 SP2を当面の間使い続けられることになるが、空白期間中に公開されたセキュリティ・ホールは修正されずに残っている危険があることに留意しなければならない。

 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間