2005年4月13日に提供が開始されたWindows Installer 3.1が、Windows Update、ダウンロード・センター、Software Update Services（SUS）から削除され、現在ダウンロードできなくなっている。これは、2005/04/20日付け配信のHotFix Weeklyで報告したとおり、Windows Installer 3.1に不具合が発生しているためと思われる。

・HotFix Weekly 2005/04/20日付け（Windows Installer 3.1の提供開始）：
http://www.hotfix.jp/archives/alert/2005/news05-0420.html#04

　すでにマイクロソフトも、Windows Installer 3.1の不具合を確認している。Windowsファイル保護（WFP）機能で保護されているシステム・ファイルを置き換えるような修正プログラムやアプリケーションで、Windows Installerを利用するものを、サイレント・インストール・オプションを付けてインストールを実行すると、不具合が発生することがあるとしている。

・サポート技術情報 898628（Windows Installer 3.1 をアップグレードすると、サイレントに Windows インストーラが失敗します。）：
http://support.microsoft.com/default.aspx?scid=kb;ja;898628［機械翻訳］

　回避策は、Windows Installer 3.1をアンインストールすること。［アプリケーションの追加と削除］／［プログラムの追加と削除］で、Windows Installer 3.1を削除すればよい。

関連HotFix Report BBS関連スレッド：
・Re: Windows Installer 3.1でWindows Updateがエラー
http://bbs.hotfix.jp/ShowPost.aspx?PostID=2954#2954

　Greyhats SecurityのPaul氏とその友人であるMichael Krax氏は、Firefoxのに2種類の脆弱性が存在し、最悪の場合、任意のコードが実行される危険性があることを報告した。Mozilla関連の情報サイト「mozillaZine」によれば、Paul氏はMozilla Foundationにセキュリティ・バグとして非公開で報告したものが漏れてしまったという（5月7日にjohn smith氏が実証コードをセキュリティ関連のメーリング・リスト「Bugtraq」に投稿している）。

・Greyhats Security（Firefox Remote Compromise Technical Details）：
http://greyhatsecurity.org/firefox.htm

・MozillaZine（Mozilla Arbitrary Code Execution Security Flaw）：
http://www.mozillazine.org/talkback.html?article=6582

・Mozilla Japan（「javascript:」形式の iconURL を通じたコードの実行）：
http://www.mozilla-japan.org/security/announce/mfsa2005-42.html

・Bugtraq（Firefox Remote Compromise Technical Details）：
http://www.securityfocus.com/archive/1/397817

・Bugtraq（firefox 1.0.3 spoof+auto dl）：
http://www.securityfocus.com/archive/1/397747

・Secunia（Mozilla Firefox Two Vulnerabilities）：
http://secunia.com/advisories/15292/

　Mozilla Japanが公開したセキュリティ・アドバイザリによれば、「javascript:」形式のURLへ履歴をIFRAME内で1つ戻すことで、任意のスクリプトが実行される脆弱性が存在する。この脆弱性により、Cookieや機密情報が盗まれる危険性がある。

　また、InstallTrigger.install()の「IconURL」パラメータが適切に処理されないため、任意のスクリプトが実行されるという別の脆弱性も存在する。この脆弱性を悪用するには、FirefoxがWebサイトからソフトウェアのインストールが可能になっている必要がある。デフォルトでは、Mozilla Foundationのアップデート・サイト（update.mozilla.orgとaddons.mozilla.org）のみが、ソフトウェアのインストールが可能となっている。

　しかし、上記の脆弱性と組み合わされると、任意のサイトをupdate.mozilla.orgやaddons.mozilla.orgに見せかけて任意のコードが実行される危険性がある。ただしMozilla Foundationでは、こうした攻撃に利用されないようアップデート・サービスに修正を加えており、すでに公開されている実証コードを用いて攻撃は行えないようになっている。

関連HotFix Report BBS関連スレッド：
・Mozilla Firefox1.0.3に最高レベルの脆弱性
http://bbs.hotfix.jp/ShowPost.aspx?PostID=2977

　シマンテックは、Symantec AntiVirus製品にRAR形式で圧縮されたファイルを分解する際にコンポーネントがクラッシュするため、ウイルス・スキャンが正しく実行できない危険があることを公表した。これにより、RAR形式の圧縮ファイルに格納されている悪質なファイルが検出されない可能性がある。ただし圧縮ファイルを解凍しなければ、ウイルスなどが実行されることがないため、危険性はそれほど高くない。また脆弱性が存在するのは、RAR形式の圧縮ファイルの分解コンポーネントであるため、RealTime Virus Scan／Auto-Protectを有効（デフォルトでは有効）にしていれば、ファイルが解凍された時点でウイルスなどが検出されて削除される。

・シマンテック（Symantec AntiVirus に RAR アーカイブをバイパスする脆弱性）：
http://www.symantec.co.jp/region/jp/avcenter/security/
content/2005.04.27.html

　なおSymantec Mail Security for SMTPでは、4.1.4.30で上記の脆弱性が解消されるものの、このビルドでは日本語メールの処理で問題が発生する。そのためバージョンアップを控えるように、脆弱性レポートに記載されている。Symantec Mail Security for SMTPを利用している場合は、不具合が解消されたビルドがリリースされるまで、検出をすり抜けたウイルスなどが圧縮ファイルに存在する可能性があることを前提に、現在のビルドを使い続ける必要がある。

　脆弱性が存在するビルドと解消済みのビルドは以下のとおりである。

　マイクロソフトは、SQL Server 2000向けのサービスパック「SQL Server 2000 SP4」の提供を開始した。SQL Server 2000 SP4には、SP3a以降にリリースされた修正プログラム（MS03-031を含む）のほか、不具合修正なども含まれている。修正される不具合は、「サポート技術情報：888799／888800」を参照してほしい。

・サポート技術情報 888799（SQL Server 2000 Service Pack 4 Beta で修正される問題の一覧）：
http://support.microsoft.com/default.aspx?scid=kb;ja;888799

・サポート技術情報 888800（SQL Server 2000 Analysis ServicesService Pack 4 に修正される不具合の一覧）：
http://support.microsoft.com/default.aspx?scid=kb;ja;888800［機械翻訳］

　なおSQL Server 2000 SP4では、Windows NT 4.0、Windows 98／98SE／Meがサポート対象外となる（これらのOSでは、SQL Server 2000 SP3aはサポート対象となっていた）。これらのOS上にインストールされているSQL Server 2000 SP3aは、SP4のリリース後、12カ月間（2006年4月末ごろまで）は引き続き重要な修正プログラムのサポートが受けられるという。

　一方でSP4では、x64版Windows Server 2003のWindows on Windows 64モード（WoW64：32bit互換モード）上での稼働がサポート対象に加わっている。x64版対応のSQL Server 2000は提供されていないので、x64版Windows Server 2003（のWoW64環境）上でSQL Serverを動かすには、SQL Server 2000 SP4を利用することになる。

　SQL Server 2000 SP4では、非常の多くの修正が行われている。またMDACやMSXML 3.0などのコンポーネントも更新される。こうした修正や更新によって、これまで動作していたSQL Server 2000上のアプリケーションに不具合が生じる可能性もある。当然のことながら、事前に十分な検証を行った上で、SP4のインストールを行ってほしい。

・ダウンロード・センター（Microsoft SQL Server 2000 Service Pack 4）：
http://www.microsoft.com/downloads/details.aspx?
FamilyId=8E2DFC8D-C20E-4446-99A9-B7F0213F8BC5&displaylang=ja

・サポート技術情報 884525（SQL Server 2000 service pack 4 Readme ファイルの追加）：
http://support.microsoft.com/default.aspx?scid=kb;ja;884525［機械翻訳］

関連HotFix Report BBS関連スレッド：
・SQL Server 2000 SP4 がリリース
http://bbs.hotfix.jp/ShowPost.aspx?PostID=2957