詳細:
Windows XP SP未適用/SP1/SP1aにおいて、Windows Updateサイトに接続して「更新をスキャンする」を実行するか、Windows
Updateの自動更新を利用していると、MS03-051の修正プログラムを適用することが必要である旨の表示が行われます。これは、Windows UpdateにおけるMS03-051の脆弱性の検出方法が変更になったことにより、FrontPage
2000 Server Extensionsをインストールしていない環境においても適用が必要であると判断されるようになったためです。なお修正プログラム自体の変更はありません。
FrontPage 2000 Server Extensionsが一度もインストールされていない環境で修正プログラムを実行した場合、dllcache内の古いファイルがMS03-051の最新ファイルで更新されるだけで、FrontPage
2000 Server Extensionsがインストールされるなどの不具合は発生しません。そのためマイクロソフトは、この変更による検出ミスは問題がない、としています。
ただ今回の変更によって、Windows XP環境ではWindows Updateを利用してMS03-051の脆弱性の有無を判断することはできなくなっています。またDA
Labで調査したところ、FrontPage 2000 Server Extensionsを構成する.dllファイルであっても、dllcacheに登録されていないファイルは、MS03-051の修正プログラムを適用しても、更新されるファイルがdllcacheに登録されないことがありました。つまり、dllcacheにある既存のファイルが上書きされるだけで、新規には追加されることはありませんでした。この状態でFrontPage
2000 Server Extensionsをシステムに追加すると、すべてのMS03-051で更新されるファイルがシステムに組み込まれないため、脆弱性を含む古いファイルがインストールされる可能性があります。この問題については引き続きDA
Labで調査していますが、従来のようにFrontPage 2000 Server Extensionsがインストール済みの環境に対してMS03-051を適用する方が安全と思われます。なおUpdateEXPERTでは、異なる検出方法を採用しているため、Windows
Updateの検出方法変更の影響は受けません。
|