このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 

更新日:2005/04/20


不具合ならびに追加情報

情報の種類 セキュリティ番号 タイトル
脆弱性 −/− Jetデータベース・エンジンのバッファ・オーバーフローの脆弱性により、任意のコードが実行できる危険性
SP −/− 日本語版Windows Server 2003 SP1の提供開始
不具合解消 −/− Windows 98/98SE/Me向けMS05-002の修正プログラムが再リリース
不具合 −/− Windows Installer 3.1の提供開始
脆弱性解消   複数の脆弱性を解消したFirefox 1.0.3の提供開始
不具合 −/− そのほかの不具合情報
 
[脆弱性]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
Jetデータベース・エンジンのバッファ・オーバーフローの脆弱性により、任意のコードが実行できる危険性
情報ソース HexView氏(Bugtraq)
情報の内容 Jetデータベース・エンジンの脆弱性
条件 Acess 2000/2002/2003、Windows 2000/XP/Server 2003の利用
報告日 2005年3月31日

 HexView氏は、セキュリティ関連のメーリングリストにMicrosoft Accessなどに含まれる「Jetデータベース・エンジン」にバッファ・オーバーフローを引き起こす脆弱性が存在し、任意のコードが実行できる危険性があることを報告した。報告によれば、Jetデータベース・エンジンの主要コンポーネントである「msjet40.dll」に脆弱性が存在する。細工されたMicrosoft Accessのデータベース・ファイル(.mbdファイル)を開くと、ファイル内に仕込まれた任意のコードが実行される。すでに実証コードが公開されており、悪用される危険性が高まっている。

・Bugtraq([HV-HIGH] Microsoft Jet DB engine vulnerabilities):
http://www.securityfocus.com/archive/1/394758

・Secunia(Microsoft Jet Database Engine Database File Parsing Vulnerability):
http://secunia.com/advisories/14896/

 現在のところ、マイクロソフトからは、この脆弱性に対する正式な報告や修正プログラムの提供は行われていない。この脆弱性は、.mbdファイルを開かなければ影響を受けないので、データベース・ファイルを開く際に注意するなどの運用によって攻撃を回避可能だ。ただしWindows 2000/XP/Server 2003では、脆弱性があるとされるmsjet40.dllを含むJet 4.0データベース・エンジンがデフォルトでインストールされる。つまり、Accessがインストールされていないシステムでも、Jet 4.0データベース・エンジン(正確にはmsjet40.dll)を利用するソフトウェアがインストールされていれば、それを経由して脆弱性が悪用される危険性がある。早急な修正プログラムの提供が待たれる。

情報の対象:
 Access 2000
 Access 2002
 Access 2003
 Windows 2000
 Windows XP
 Windows Server 2003

関連HotFix Report BBS関連スレッド:
・Jetデータベース・エンジンにバッファ・オーバーフローの脆弱性
http://bbs.hotfix.jp/ShowPost.aspx?PostID=2689

   
[SP
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
日本語版Windows Server 2003 SP1の提供開始
情報ソース マイクロソフト
情報の内容 日本語版Windows Server 2003 SP1の提供
条件 Windows Server 2003の利用
報告日 2005年4月19日

 2005年4月19日に予告どおり、日本語版Windows Server 2003 SP1の提供がダウンロード・センターとWindows Update、Software Update Services(SUS)で開始された。Windows Server 2003 SP1では、不具合の解消のほか、セキュリティ機能の強化やInternet Explorerなどのコンポーネントのバージョンアップといった機能面での変更も行われている。すでにWindows Server 2003 SP1をインストールすることによって、生じる不具合や互換性の問題が報告されている(報告された不具合については、HotFix Report BBSの「Win Server 2003 SP1フォーラム」で随時お知らせする)。インストール前には十分な検証を実施してほしい。

・ダウンロード・センター(Microsoft Windows Server 2003 Service Pack 1 (32 ビット)):
http://www.microsoft.com/downloads/details.aspx?
FamilyID=22cfc239-337c-4d81-8354-72593b1c1f43&DisplayLang=ja

・ダウンロード・センター(Windows Server 2003 Service Pack 1 32 ビット 展開ツール):
http://www.microsoft.com/downloads/details.aspx?
FamilyID=a34edcf2-ebfd-4f99-bbc4-e93154c332d6&DisplayLang=ja

・HotFix Report BBS(Win Server 2003 SP1フォーラム)
http://bbs.hotfix.jp/ShowForum.aspx?ForumID=36

情報の対象:
 Windows Server 2003 SP未適用

関連HotFix Report BBS関連スレッド:
・Windows Server 2003 SP1 RTM がリリース
http://bbs.hotfix.jp/ShowPost.aspx?PostID=2804

・SP1適用に関する互換性情報、不具合報告スレッド
http://bbs.hotfix.jp/ShowPost.aspx?PostID=2818

   
[不具合解消]
 
HotFix Alert:
MS05-002
 
セキュリティ番号:
MS05-002
 
サポート技術情報:
891711
Windows 98/98SE/Me向けMS05-002の修正プログラムが再リリース
情報ソース マイクロソフト
情報の内容 Windows 98/98SE/Me向け修正プログラムの再リリース
条件 Windows 98/98SE/Meの利用
報告日 2005年4月13日

 マイクロソフトは、2005年3月9日にリリースしたWindows 98/98SE/Me向けMS05-002の修正プログラムを更新し、改訂版のリリースを行った。2005/03/16日付けのHotFix Weeklyで既報のとおり、MS05-002の修正プログラムをWindows 98/98SE/Meに適用すると、システム・エラー(いわゆるブルースクリーン)を発生するなどの不具合が報告されていた。マイクロソフトによれば、改訂版ではこの不具合が解消されているとのことだ。HotFix Report BBSでも、改訂版を適用したらブルースクリーンになる障害が解消したという報告が投稿されている。

・HotFix Weekly 2005/03/16日付け(Windows 98/98SE/Me向けMS05-002とMS05-015の修正プログラムが提供開始):
http://www.hotfix.jp/archives/alert/2005/news05-0316.html

 すでに、MS05-002のWindows 98/98SE/Me向け修正プログラムを適用済みの場合も、改訂版を再適用することが推奨されている。Windows 98/98SE/Meを利用している場合は、Windows Updateで再適用を行ってほしい。なおMS05-002の改訂版修正プログラムもダウンロード・センターには登録されないので注意が必要だ。

Windows 98/98SE:
ファイル名 日付 バージョン サイズ
Windows98-KB891711-v2-JPN.EXE 2005/03/26 4.72.3110.0
148,440
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system\KB891711\
KB891711.EXE 2005/03/23 4.10.0.2223
9,088
Windows KB891711 component
Q891711.DLL 2005/02/18 4.10.0.2222
4,288
Windows KB891711 component
 
Windows Me:
ファイル名 日付 バージョン サイズ
WindowsME-KB891711-v2-JPN.EXE 2005/03/26 4.72.3110.0
143,832
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system\KB891711\
KB891711.EXE 2005/03/23 4.10.0.2223
9,088
Windows KB891711 component
Q891711.DLL 2005/02/18 4.10.0.2222
4,288
Windows KB891711 component
情報の対象:
 Windows 98/98SE/Me

関連HotFix Report BBS関連スレッド:
・MS05-002改訂版 for Windows 98、98SE および ME リリース
http://bbs.hotfix.jp/ShowPost.aspx?PostID=2754#2754

   
[不具合]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
Windows Installer 3.1の提供開始
情報ソース マイクロソフト
情報の内容 Windows Installer 3.1の提供
条件 Windows OSの利用
報告日 2005年4月13日

 マイクロソフトは、Windowsインストーラの最新版となる「Windows Installer 3.1」の提供を開始した。Windows Installer 3.1は、Windows Installer 3.0の後継に当たり、すでにWindows Server 2003 SP1には同梱されている。Windows Installer 3.1では、Windows Installer 3.0の不具合解消などが行われる。

・サポート技術情報 893803(Windows Installer 3.1):
http://support.microsoft.com/default.aspx?scid=kb;ja;893803[機械翻訳]

■Windows Installer 3.1のインストールによって生じる不具合
 DA Labでは、Windows XP Professional SP未適用+Office 2000 Standard SR未適用の環境にWindows Installer 3.1をインストールすると、Office 2000 SR-1の適用に失敗する場合があることを確認した。またWindows Server 2003向けのSQL2000-KB829358-8.00.0884-JPN.exe(SQL Server 2000 Desktop Engine修正プログラム)においても適用に失敗することを確認した。どちらもWindows Installerはエラーコード1603(インストール中の致命的なエラー)を返し、ログファイルにエラーコード2727(ディレクトリ・エントリが見つからない)を記録していた。現在、失敗する原因やそのほかの環境で同様の不具合が発生しないかどうかの確認を行っている。Windows Installer 3.1を大規模に展開する前に十分な検証を行った方がよいだろう。

・サポート技術情報 (Windows Server 2003 用 SQL Server 2000 Desktop Engine (Windows) の重要な更新):
http://support.microsoft.com/default.aspx?scid=kb;ja;829358

 なお、2005年4月19日の時点で、Windows Installer 3.1が必須とされる修正プログラムは確認されていない。

情報の対象:
 Windows 2000 SP3/SP4
 Windows XP SP未適用/SP1/SP1a/SP2
 Windows Server 2003 SP未適用

関連HotFix Report BBS関連スレッド:
・Windows Installer 3.1 がリリース
http://bbs.hotfix.jp/ShowPost.aspx?PostID=2735

   
[脆弱性解消]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
複数の脆弱性を解消したFirefox 1.0.3の提供開始
情報ソース Mozilla Foundation
情報の内容 脆弱性を解消したFirefoxの提供開始
条件 Firefoxの利用
報告日 2005年4月17日

 Mozilla Foundationは、Firefox 1.0.2に新たに以下の9つの脆弱性が発見されたことを明らかにし、それらを解消したFirefox 1.0.3の提供を開始した。

 解消された脆弱性の中には、2005/04/06日付けのHotFix Weeklyで既報の「FirefoxのJavaScriptエンジンの脆弱性」も含まれている。この脆弱性については、すでに実証コードが公開済みだ。このほか、Mozilla Foundationが重要度を「最高」と位置付けている危険性の高い脆弱性も複数含まれている。Firefoxを利用している場合は、1.0.3へのアップデートを実施してほしい。

・HotFix Weekly 2005/04/06日付け(FirefoxのJavaScriptエンジンの脆弱性により、情報が漏えいする危険性):
http://www.hotfix.jp/archives/alert/2005/news05-0406.html

 Firefox 1.0.3で解消される脆弱性は以下のとおりである。詳細については、Mozilla Foundationの解説ページを参照してほしい。

・Mozilla Japan(Mozilla における既知の脆弱性):
http://www.mozilla-japan.org/projects/security/known-vulnerabilities.html

MFSA番号 脆弱性の内容
MFSA 2005-41 DOMプロパティの上書きを通じた特権の拡大
MFSA 2005-40 インストール・オブジェクトのインスタンス・チェック欠落
MFSA 2005-39 Firefox のサイドバーパネルを通じて任意のコードが実行される (2)
MFSA 2005-38 検索プラグインを通じたクロスサイト・スクリプティング
MFSA 2005-37 「javascript:」形式のfaviconを通じたコードの実行
MFSA 2005-36 グローバル・スコープ汚染を通じたクロスサイト・スクリプティング
MFSA 2005-35 ブロックされた「javascript:」形式のポップアップを表示する際に、誤った特権付きコンテキストが用いられる
MFSA 2005-34 PLUGINSPAGE属性を利用した特権付きスクリプトの実行
MFSA 2005-33 JavaScriptの「ラムダ」置き換えにより、メモリの内容が読み出される

 すでにMFSA 2005-37とMFSA 2005-39に対する実証コードが公開されている。悪用される危険性があるので、なるべく早期にFirefox 1.0.3へのアップグレードを実行してほしい。なお、2005年4月19日現在、Firefoxの[ツール]−[オプション]−[詳細]の「ソフトウェア更新」では、Firefox 1.0.3は表示されない。Mozilla Foundationの製品情報ページからダウンロードし、再インストールする必要がある。

情報の対象:
 Firefox 1.0.x

関連HotFix Report BBS関連スレッド:
・FireFoxの脆弱性攻撃用実証コードが公開
http://bbs.hotfix.jp/ShowPost.aspx?PostID=2808

   

■そのほかの不具合/追加情報

・サポート技術情報 885870(Outlook 2003 で POP3 電子メール サーバー アカウントから電子メール メッセージが重複してダウンロードされる):[Outlook 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;885870

・サポート技術情報 836937(Windows XP 用の更新プログラムを Windows Update Web サイトからインストールするときにエラー メッセージ 0x80070643 が出力される):[Windows XP]
http://support.microsoft.com/default.aspx?scid=kb;ja;836937

・サポート技術情報 885887(Windows XP Service Pack 2 ベースのコンピュータにログオンした後、ネットワーク リソースにアクセスできない):[Windows XP SP2]
http://support.microsoft.com/default.aspx?scid=kb;ja;885887

・サポート技術情報 823836(Windows XP Service Pack 2 ベースのコンピュータにログオンした後、ネットワーク リソースにアクセスできない):[Windows 2000][Windows XP][Windows Server 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;823836

 

UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。
HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先
info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。