■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Professional SP4+IE 5.01 SP4 |
○
|
Windows 2000 Professional SP4+IE 6 SP1 |
○
|
Windows 2000 Server SP4+IE 5.01 SP4 |
○
|
Windows 2000 Server SP4+IE 6 SP1 |
○
|
Windows 2000 Advanced Server SP4+IE 5.01 SP4 |
○
|
Windows XP Professional SP1+IE 6 SP1 |
○
|
Windows XP Professional SP1a+IE 6 SP1 |
○
|
Windows XP Professional SP2+IE 6 SP2 |
○
|
Windows Server 2003 Standard SP未適用+IE 6 for
Windows Server 2003 |
○
|
Windows Server 2003 Enterprise SP未適用+IE 6 for Windows Server 2003 |
○
|
Windows Server 2003 Standard SP1+IE 6 for Windows
Server 2003 |
○
|
Windows Server 2003 Enterprise SP1+IE 6 for Windows Server 2003 |
○
|
■修正プログラムのアンインストールに際しての注意
DA Labの調査によると、Windows XP SP2/Windows Server 2003向けのMS05-037の修正プログラムをアンインストールすると、ActiveX
Compatibilityのレジストリ値がMS05-037の適用直前の状態に戻る不具合があることが判明した。例えば、Windows XP SP2にMS05-037の修正プログラムを適用後、ActiveX
Compatibilityにkillbitが設定される「Internet Explorerの累積的な修正プログラム」などを適用した後、MS05-037の修正プログラムをアンインストールすると、MS05-037の適用直前の状態にkillbitが戻ってしまう。これは、「Internet
Explorerの累積的な修正プログラム」によって無効化されたActiveXコントロールが有効な状態に戻り、脆弱性が復活してしまうことを意味する。
この現象は、MS05-037の修正プログラムがアンインストール情報として、以下のレジストリ・キー以下をすべて保存し、それをアンインストール時にレジストリに書き戻すことが原因で起きる。
レジストリ・キー: |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\
ActiveX Compatibility\ |
修正プログラムの仕様としては、killbitを設定する上記のレジストリ・キーを保存するか、Compatibility Flags(DWORD型)に「0x0000020」を設定してkillbitを解除する必要があるのだが、そのようには設計されていない。Windows
XP SP2/Windows Server 2003でMS05-037の修正プログラムをアンインストールする必要がある場合は、事前に上記のレジストリ・キー以下を保存してからアンインストールを実行し、その後レジストリ・キーを再設定した方がよい。
■Windows 2000 SP3向けの修正プログラムは提供されない
MS05-037の修正プログラムは、2005/07/13日付けHotFix Weeklyで報じた2005年7月6日の「サポート技術情報:903235」で提供されたものと同じだ。ただし2005年7月12日以前の「サポート技術情報:903235」では、Windows
2000 SP3(IE 5.01 SP3、IE 6 SP1とも)がサポートされていたものの、MS05-037では対象外となっている。これは、2005年6月30日にWindows
2000 SP3のサポート・ライフサイクルが終了したための処置と思われる。
したがってサービスパック・レベルがSP3以前のWindows 2000に対しては、Windows 2000 SP4を適用してから、MS05-035の修正プログラムを適用する必要がある。なお修正プログラム自体は「サポート技術情報:903235」とまったく同じものなので、マイクロソフトのサポート対象外ではあるが、Windows
2000 SP3の環境に適用することは可能だ。
・HotFix Weekly 2005/07/13日付け(「Javaprxy.dll COMオブジェクトの脆弱性」を回避する修正プログラムの提供を開始):
http://www.hotfix.jp/archives/alert/2005/news05-0713.html#01
■IE 5.5 SP2(Windows Me)向けの修正プログラムはWindows Updateでのみ提供
2005年7月6日に公開された「サポート技術情報:903235」の修正プログラムは、すべてダウンロード・センターで提供されていた。IE 5.5 SP2(Windows
Me)向けの修正プログラムも例外ではなく、ダウンロード・センターで入手可能であった。ところが、7月13日のMS05-037の修正プログラム(実体は「サポート技術情報:903235」と同じもの)に際して、IE
5.5 SP2(Windows Me)向けの修正プログラムはダウンロード・センターから削除され、提供はWindows Updateのみと変更された。企業内で展開するような場合は、Windows
Updateカタログを利用して、修正プログラムを入手する必要がある。
■MBSA 2.0の結果
MS05-037の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新プログラム」の「結果の詳細情報」に、「MS05-037
JView Profiler 用セキュリティ更新プログラム (KB903235) 」が表示される。参考までにMBSA 1.21では「Windowsのセキュリティの更新」に「JView
プロファイラの脆弱性によりリモートでコードが実行される (903235)」が表示される。
|