■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows NT Workstation 4.0 SP6a+Internet Explorer 6 SP1 |
○
|
Windows NT Server 4.0 SP6a+Internet Explorer 6 SP1 |
○
|
Windows 2000 Professional SP2 |
○
|
Windows 2000 Professional SP3 |
○
|
Windows 2000 Professional SP4 |
○
|
Windows 2000 Server SP2 |
○
|
Windows 2000 Server SP3 |
○
|
Windows 2000 Server SP4 |
○
|
Windows 2000 Advanced Server SP4 |
○
|
Windows XP SP未適用 |
○
|
Windows XP SP1 |
○
|
Windows XP SP1a |
○
|
■MS04-011のWindows XP SP1のタスク・スケジューラの障害は?
Windows XP SP1/SP1aでは、MS04-011の修正プログラムを適用するとタスク・スケジューラに障害が発生することが「サポート技術情報:841173」で報告されていた。この障害を解消する修正プログラム(QFE)は、広く公開されていないものの、マイクロソフトのサポート窓口への問い合わせることで入手可能であった。MS04-022の修正プログラムでは、QFEに含まれるよりも新しいバージョンのDLLファイルが含まれており、問題は修正されている(QFEのnetapi32.dllの
バージョンは「5.1.2600.1521」であるのに対して、MS04-022は「5.1.2600.1562」)。
Windows XP SP1/SP1aにおいて、MS04-011の修正プログラムを適用したことによって、タスク・スケジューラに障害が発生している場合は、MS04-022の修正プログラムを適用することによって、障害が解消される可能性がある。
・サポート技術情報 841173(You receive the "The binding handle is invalid" error message
when you use the AT command in Windows XP):
http://support.microsoft.com/default.aspx?scid=kb;EN-US;841173
■スケジュールしたジョブを削除できない場合がある
「サポート技術情報:871245」によれば、MS04-022の修正プログラムをWindows 2000に適用すると、スケジュールしたジョブを削除できなくなる場合がある、とのことだ。この障害を解決する修正プログラムは、マイクロソフトのプロダクト
サポート サービスに問い合わせれば入手できるようだが、現在は英語の情報しかなく、日本語環境での対応は不明だ。なおDA Labで修正プログラム適用後にスケジュールの追加と削除を試したところ、報告されているような障害は再現できなかった。
■Windows NT 4.0 SP6a+Internet Explorer 6は脆弱性あり
Windows NT 4.0 SP6aのMS04-022に関連するコンポーネントには、脆弱性は存在しない。ただしタスク・スケジューラ機能は、Internet
Explorer(IE) 4.0以降でインストール可能であり、IE 5.0以降では標準でインストールされる。そのため、IE 4.0以降をインストールしている場合は、OSによらず脆弱性を持つファイルがインストールされている可能性がある。MS04-022の修正プログラムは、Windows
NT 4.0 SP6a+IE 6 SP1向けしか提供されていないため、IE 4.0以降をインストールしている場合は、IE 6 SP1をインストール後、修正プログラムを適用すること。なおTechNetセキュリティ情報では、修正プログラムがIE
6 SP未適用に対応しているか明確に記載されていない。IE 6 SP未適用を利用している場合は、念のため、IE 6 SP1をインストール後、修正プログラムを適用した方がよいだろう。
なおWindows NT Workstation 4.0 SP6aとWindows 2000 SP2は、ライフサイクル・ポリシーにより、2004年6月30日でサポートが終了している。マイクロソフトは、MS04-022の修正プログラムに関しては開発作業が6月30日時点でほぼ終了していたため、提供を行ったとしている。今後は、Windows
NT Workstation 4.0 SP6aとWindows 2000 SP2に対する修正プログラムの提供が行われない可能性が高い。OSのバージョンアップまたはサービスパックの適用を行った方がよい。ちなみにWindows
NT Server 4.0のサポートは、2004年12月31日で終了する。
■Windows 98/98 SE/Meにも脆弱性あり?
マイクロソフトは、Windows 98/98 SE/MeのMS04-022に関連するコンポーネントに脆弱性は存在しない、としている。ただし、少なくともIE
6 SP未適用/SP1を適用した場合には、Windows NT 4.0 SP6aと同様、脆弱性が含まれると思われる。しかしマイクロソフトは、「緊急」の脆弱性ではないため、修正プログラムは提供しないとしている。
■MS04-024の修正はWindows XP SP2に含まれる
Windows XP用のMS04-024の修正は、Windows XP SP2に含まれるとしている。Windows XP SP未適用/SP1/SP1aは、近々リリース予定のWindows
XP SP2を適用することでも、この脆弱性は解消できるだろう。
■MBSA 1.2の結果
MS04-022の修正プログラムが正しく適用されているかどうかは、MBSA 1.2で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「タスク
スケジューラの脆弱性により、コードが実行される (841873)」が表示される。
|