Windows 2000は、標準で拡大鏡やナレータ、オンスクリーン・キーボードなどのユーザー補助プログラムをサポートしています。これらのユーザー補助プログラムの状態をチェックし、それらを起動／停止できるようにするユーティリティとして、「ユーティリティ・マネージャ」が用意されています。このユーティリティ・マネージャがWindowsメッセージを処理する方法に脆弱性があります。

　攻撃者は、ユーティリティ・マネージャのプロセスに不正なWindowsメッセージを送るプログラムをユーザーのコンピュータで実行し、攻撃者が指定した操作を行わせる可能性があります。これにより、攻撃者がコンピュータの完全な制御を取得する可能性があります。また、この脆弱性を悪用することで、コンピュータの管理者権限などを取得する可能性があります。この場合、攻撃者は、コンピュータ上のデータの追加／削除／変更、ユーザー・アカウントの作成など、コンピュータで任意の操作を行えるようになります。

　この脆弱性を悪用するには、対話的なログオンが必要になりますが、ほかの脆弱性と併用することでシステムの制御が奪われる可能性がありますので、なるべく早期に修正プログラムの適用を行ってください。

　なおMS03-025の修正プログラムは、Windows 2000 Service Pack（SP） 4に含まれています。SP4を適用済みの場合は、この修正プログラムを適用する必要はありません。MS03-025の修正プログラムとWindows 2000 SP4に含まれるファイルは、ファイル・サイズ、バージョンともに同一のものです（更新日時は異なります）。

　修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。

・Windows 2000
　［展開ビュー］−［OS］タブに「名前：Windows2000-KB822679-x86-JPN.exe」で登録

　ユーザー補助機能のユーティリティ・マネージャは、アクセシビリティ・オプションの一覧を提供するためにWindowsメッセージを利用します。このWindowsメッセージを適切に検証しないため、セキュリティ上の脆弱性が起こります。

　ユーティリティ・マネージャに対して、そのコンピュータで実行されている別のプロセスが特別に作成されたメッセージを送ることができます。ユーティリティ・マネージャのプロセスは、その別プロセスよりも高いアクセス許可で実行されるため、別プロセスはその高いアクセス許可を使用して処理が実行できます。

　修正プログラムが正しく適用されたことを確認するには、UpdateEXPERT上で該当する修正プログラムの「インストール ステータス アイコン」がグレーから緑色に変わったことをご確認ください。「適用されるファイル情報」で示したファイルに置き換わっていることでも確認できます。また、各クライアント上で以下のレジストリ・キーが登録されていることでも確認できます。
　
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\KB822679

［お詫び］HotFix Report配信時にWindows 2000のレジストリ・キーをQ822679とお知らせしましたが、KB822679の誤りでした。お詫びして訂正させていただきます。

　手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで［日本語］を選択してください。
　
http://www.microsoft.com/downloads/details.aspx?FamilyId=D415A4AC-E13A-4E8A-BE25-85E7DF686F61&displaylang=ja

　また、MS03-024の修正プログラムは、Windows Updateからも適用可能です。