MSN MessengerのGIFファイル処理に脆弱性が存在し、任意のコードが実行される危険性がある。ユーザーが管理者権限でログオンしている場合、コンピュータの制御が完全に奪われてしまう。

　細工されたGIFファイル自体（絵文字や写真）が送られることで、攻撃が行われる可能性が高い。攻撃を実行するには、MSN Messengerでユーザーと接続し、絵文字や写真を送信後、それをMSN Messenger上で表示させるように仕向ける必要がある。知らない人との接続を拒否する（メンバに追加しない）ことで脆弱性は回避可能であるため、危険性はそれほど高くないといえる。

　マイクロソフトによれば、MS05-022の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。ただしMSN Messengerを悪用した攻撃は、米国を中心に多発している。MSN Messengerを利用している場合は、至急、修正プログラムの適用を行った方がよい。

　ちなみに、Windows XPに標準搭載されているWindows Messengerはこの脆弱性の対象ではない。MSN Messengerは、当初はWindows XP以外のWindows OSでインスタント・メッセージング機能を利用可能にするために提供されたソフトウェアだったが、MSN Messenger 5.0からはWindows XPにも対応し、Windows XPにインストールして利用できるようになった。ユーザーがどちらのメッセンジャー・ソフトウェアを利用しているかによって、MS05-022で公開された脆弱性の影響を受けるかどうかが異なるので注意が必要である。

　MSN Messengerが、GIF形式のイメージ・ファイルのレンダリングを適切に処理しないことに起因する脆弱性が存在する。不適切な高さおよび幅を持つ不正なGIFファイルをMSN Messengerが受信し、レンダリングを行うと、任意のコードが実行される危険性がある。

　以前に公開されたMS05-009では、PNG形式のイメージ・ファイルに対する脆弱性を解消したが、MS05-022ではGIF形式が対象となっている。脆弱性の原因が異なっているので注意していただきたい。なお、MS05-022の修正プログラムには、MS05-009の修正（PNG形式のデータ処理に対する脆弱性の修正）も含まれている。MSN Messengerに対するかぎり、MS05-022を適用すれば、MS05-009の適用は不要だ。ただし、MS05-009はMSN Messenger以外の修正を含んでいる。これらについてはMS05-022の修正では解消されないので注意すること。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■MS05-022の修正プログラムでは、MS05-009のすべての脆弱性が解消されるわけではない
　マイクロソフトの説明によれば、MS05-022の修正プログラムは、MS05-009の脆弱性も解消されるとしている。ただし解消されるのは、MSN Messengerに対してのみであり、MS05-009が対象としているWindows Media Player 9やWindows Messengerに対する脆弱性は解消されないので注意が必要だ。Windows XPではデフォルトでWindows Messengerがインストールされているので、必ずMS05-009の対応するWindows Messenger向けの修正プログラムも合わせて適用してほしい。Windows Media Player 9についても同様だ。

■MSN Messenger 7.0でも脆弱性を解消できる
　2005年4月7日から、現時点の最新版であるMSN Messenger 7.0の提供が開始されている。MS05-022によれば、MSN Messenger 7.0は今回の脆弱性の影響を受けないとされている。そのためバージョン6.2から7.0にアップグレードするという解決策もある。またバージョン6.1以前やバージョン7.0のベータ版を利用している場合は、脆弱性の有無が不明なので7.0のリリース版に更新すべきだ（MS05-022の記述によれば、提供されている修正プログラムの適用対象はMSN Messenger 6.2のみ、とのこと）。

・マイクロソフト（MSN Messenger）：
http://messenger.msn.co.jp/

・ダウンロード・センター（MSN Messenger for Windows バージョン 7.0）：
http://www.microsoft.com/downloads/details.aspx?
FamilyID=e1fcdfbd-bdb1-44e9-b6ee-bf0ec49f393a&DisplayLang=ja

■Windows Update／SUSでは更新できない
　Windows UpdateやSUSでは、MSN Messengerをアップグレードしたりその修正プログラムを適用したりすることができない。通常は、MSN Messengerを起動してサインインするとバージョンアップ（修正プログラムの適用）のお知らせが届くので、指示に従って作業を行えばよい。しかし4月14日昼の時点でお知らせはまだ届かないようだ。ダウンロード・センターから修正プログラム（実体はバージョン6.2.208のインストーラ）をダウンロードして実行するとよいだろう。

■MBSA 1.21の結果
　MS05-022の修正プログラムが正しく適用されているかどうかは、MBSA 1.21では確認できない。これには、マイクロソフトがスタンドアロンの検出ツールとして開発したEnterprise Update Scanning Tool（EST）を入手するか、レジストリ・キーまたはファイル・バージョンを調べて、適用済みかどうかを確認する必要がある。

・マイクロソフト（Enterprise Update Scan Tool の入手方法および使用方法）：
http://support.microsoft.com/default.aspx?scid=kb;ja;894193

　修正プログラムが正しく適用できたかどうかは、MSN Messengerのバージョン番号が6.2.208以降であることを確認する。それにはMSN Messengerの［ヘルプ］−［MSN Messenger のバージョン情報］を選択すればよい。