2004年2月5日にマイクロソフトは、「TechNetセキュリティ情報：MS04-004（Internet Explorer 用の累積的なセキュリティ修正プログラム）」の修正プログラムを適用すると、ユーザー資格情報（ユーザー名とパスワード）を埋め込んだURLを指定したXMLHTTPの呼び出しがエラーになる不具合を明らかにしました。この不具合は、Microsoft XML（MSXML） 2.5／2.6／3.0／4.0が対象となっていましたが、MSXML 3.0向けの修正プログラムしか提供されていませんでした。

・HotFix Report（ユーザー資格情報が埋め込まれたURLの指定でXMLHTTPの呼び出しがエラーになる不具合）：
http://www.hotfix.jp/archives/alert/2004/news04-0211.html#01

　今回、MSXML 3.0以外のMSXML 2.5／2.6／4.0向けにも修正プログラムの提供が開始されました。ネットワーク接続を伴うアプリケーションにおいて、MS04-004の修正プログラム適用後に、ネットワークへの接続が行えなくなったなどの症状が発生している場合は、XMLHTTPの不具合が原因になっている可能性がありますので、対応するバージョンの修正プログラムの適用をご検討ください。

詳細：
　MS04-004の修正プログラムを適用すると、ユーザー資格情報を含んだURLが利用できなくなるため、以下のようなXMLHTTPの呼び出し時にエラーが発生するという不具合がありました（一部のウイルス対策ソフトウェアが誤認識するため、以下のサンプルでは半角「@」を全角「＠」で示しています）。

　MS04-004の修正プログラムにおいて、このようなユーザー資格情報を埋め込んだURLに対する接続をブロックするように仕様が変更されたことで、XMLHTTPにおいても、同様にユーザー資格情報を含むURLによる接続が行えなくなりました。修正プログラムでは、この点を改善し、ユーザー情報を含むXMLHTTPの呼び出しが行えるように修正しています。

　修正プログラムはダウンロード・センターから以下のURLで入手可能です。なおMSXML 4.0に対しては、MSXML 4.0 SP2向けのみの提供となっています。MSXML 4.0 SP未適用／SP1を利用している場合は、ダウンロード・センターからMSXML 4.0 SP2をダウンロードし、バージョンアップしてから修正プログラムを適用してください。

・ダウンロード・センター（MSXML 4.0 Service Pack 2）：
http://www.microsoft.com/downloads/details.aspx?FamilyID=3144b72b-b4f2-46da-b4b6-c5d7485f2b42&DisplayLang=ja

■修正プログラムのダウンロード・ページ

・MSXML 2.5
http://www.microsoft.com/downloads/details.aspx?FamilyID=4a14fca1-5c2f-4cf1-993e-5e156c33c083&DisplayLang=ja

・MSXML 2.6
http://www.microsoft.com/downloads/details.aspx?FamilyID=2b0505c3-8509-4cae-865f-e29a41fe65bf&DisplayLang=ja

・MSXML 3.0 SP2
http://www.microsoft.com/downloads/details.aspx?FamilyID=4a4c0160-2872-48f0-867a-b64f87703e91&DisplayLang=ja

・MSXML 3.0 SP3
http://www.microsoft.com/downloads/details.aspx?FamilyID=4953d13c-68b7-4cd5-8993-220455b92c0c&DisplayLang=ja

・MSXML 3.0 SP4
http://www.microsoft.com/downloads/details.aspx?FamilyID=0031ba5d-7b07-4872-b7a7-6bbd384ba8e9&DisplayLang=ja

・MSXML 4.0 SP2
http://www.microsoft.com/downloads/details.aspx?FamilyID=341caf5f-0cdd-47a8-af5d-91e14fcf7a0d&DisplayLang=ja

■適用されるファイル情報
　修正プログラムによって置き換えられるファイルは以下のとおりです。

　セキュリティ関連のメーリングリストなどの情報によると、Internet Explorer（IE）にまだ修正プログラムが提供されていない脆弱性が存在すると報告されました。報告によれば、脆弱性の対象となっているのはすべてのIEで、細工されたWebページやHTMLメールを開くと、任意のプログラムがリモートから送り込まれ、実行させられる危険性があるというものです。

　すでにこの脆弱性を検証するための実証コードが公開されています。この実証コードを悪用したWebページやウイルス・メールの登場が懸念されます。修正プログラムが提供されていないため、以下に紹介する回避策を実施するか、「ウイルス対策ソフトウェアを導入する」「疑わしいページやリンクをクリックしない」「メールをテキスト形式で表示させる」といった対策を実施してください。なお現在のところマイクロソフトから、この件に関するコメントはありません。

・BugTraqへの報告（Microsoft Internet Explorer Unspecified CHM File Processing Arbitrary Code Execution Vulnerability）：
http://www.securityfocus.com/archive/1/354447

詳細：
　HTMLベースのヘルプ・ドキュメントであるCHMファイルの処理に脆弱性があり、Webページを開くだけで、任意のプログラムが自動的にダウンロードされ、ユーザーの操作なしで実行される危険性があります。報告によれば、レジストリ・エディタで、以下のレジストリ・キーをリネームすることで脆弱性の回避が可能だとしています。

HKEY_CLASSES_ROOT\PROTOCOLS\Handler\ms-its

　またウイルス対策ソフトウェアを用いることで、細工されたWebページからプログラムが自動的にダウンロードされるのを防ぐことも可能です。

　CHMファイルの脆弱性以外にも、ビットマップ・ファイルの処理にオーバーフローを引き起こす脆弱性があり、細工されたビットマップ・ファイルをIE 5.01／5.5で開くと、任意のコードが実行される危険性があることが報告されています。

　さらにWindows XPの「ヘルプとサポート機能」にも、パスが分かっているプログラムが実行可能になるという脆弱性があると報告されています。ただし、公開されている実証コードをDA Labで試した限りにおいては、プログラムの実行などは行えませんでした。

　これらの脆弱性については、マイクロソフトから修正プログラムが提供されていません。ウイルス対策ソフトウェアの導入や、疑わしいWebサイトへの接続を行わないなどの運用による回避策を実施してください。