英語版が正式にリリースされたばかりのInternet Explorer（IE） 7に脆弱性が発見されたという一部の報道に対して、Microsoft Security Response Center（MSRC） Blogは、この脆弱性はOutlook Expressに起因するもので、IE 7の脆弱性ではないことを明らかにした。

・MSRC Blog（Information on Reports of IE 7 Vulnerability）：
http://blogs.technet.com/msrc/archive/2006/10/19/
information-on-reports-of-ie-7-vulnerability.aspx

　Secuniaによれば、この脆弱性は「mhtml」URIハンドラのリダイレクトでエラーが起きた際の処理方法に起因するもので、インターネット・バンキング・サイトなどにログオンしていた場合に、その情報などが窃取される危険性があるという。ただし、この脆弱性自体は、以前からOutlook Expressに存在していると指摘されているものだ。2006/05/10日付け配信のHotFix Weeklyにおいても、「Internet ExplorerのXMLHttpRequest処理の脆弱性により、情報が漏えいする危険性」として報告済みの脆弱性である。

・Secunia（Internet Explorer 7 "mhtml:" Redirection Information Disclosure）：
http://secunia.com/advisories/22477/

・HotFix Weekly 2006/05/10日付け配信（Internet ExplorerのXMLHttpRequest処理の脆弱性により、情報が漏えいする危険性）：
http://www.hotfix.jp/archives/alert/2006/news06-0510.html#02

　従来のIEとセットで更新されることが多かったOutlook Expressが、IE 7ではバージョンアップしていない。そのため、半年近く解消されていない脆弱性がそのままIE 7から攻撃可能となっていた結果、IE 7の脆弱性として報道されてしまったようだ。

　この脆弱性に対しては、すでにSecuniaが実証コードを公開しており、以下のWebページにある「Test Now - Left Click On This Link」をクリックすることで、脆弱性の有無が判定可能となっている（http://news.google.com/をアクセスした人のコンテキストで開くことで脆弱性を判定している）。

・Secunia（Internet Explorer Arbitrary Content Disclosure Vulnerability Test）：
http://secunia.com/
Internet_Explorer_Arbitrary_Content_Disclosure_Vulnerability_Test/

情報の対象：
　Windows XP SP2＋Internet Explorer 7
　Windows Server 2003 SP1＋Internet Explorer 7

脆弱性識別番号：
・CVE-2006-2111
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2111

HotFix Report BBS関連スレッド：
・Outlook Expressのmhtml: URIハンドラに情報漏えいの脆弱性、修正プログラム未公開
http://bbs.hotfix.jp/ShowPost.aspx?PostID=6025

　マイクロソフトは、killbitを正しく設定しないという不具合を解消したMS06-061のWindows 2000 SP4向けの更新版（バージョン2）修正プログラムをリリースした。

　「HotFix Alert：MS06-061」の「DA Lab：HotFixテスティング・チームからのコメント」で報告したように、Windows 2000＋MSXML 2.6／3.0向け修正プログラムであるWindows2000-KB924191-x86-JPN.exeでは、「msxml2.dll」のCLSIDに対して、本来のkillbitのためのデータ「0x400（1024d）」ではなく、「0x190（400d）」をレジストリに設定していたため、killbitが正しく動作しなかった。更新版（バージョン2）の修正プログラムでは、データ「0x400（1024d）」をレジストリに設定するように修正された。なお、置き換えるファイルに変更はなく、このレジストリ設定のみ変更されている。

・HotFix Alert MS06-061（MSXMLのXSLTコントロールの脆弱性などにより、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2006/ms06-061.html

　すでにWindows 2000に対し、MS06-061の旧版修正プログラムを適用済みの場合は、改めて更新版（バージョン2）を適用する必要がある。この際、適用済みの旧版修正プログラムはアンインストールする必要はない。またMS06-061の未適用、旧版の適用済みのいかんにかかわらず、自動更新／Microsoft Update／Windows Updateでは更新版（バージョン2）の修正プログラムの適用が求められる。

・ダウンロード・センター（Windows 2000 用セキュリティ更新プログラム (KB924191)）：
http://www.microsoft.com/downloads/details.aspx?
FamilyID=f9d16d74-1785-4c33-b1fc-df5258dd1089&DisplayLang=ja

情報の対象：
　Windows 2000 SP4

HotFix Report BBS関連スレッド：
・更新版がリリース（Re: Kill Bit（Re: MS06-061［緊急］……）
http://bbs.hotfix.jp/ShowPost.aspx?PostID=6024#6024

　マイクロソフトは、MS06-051の修正プログラムを適用すると、不具合が発生する場合があることを明らかにし、それらを解消する修正プログラムの提供を開始した。

• アプリケーション・スタック・サイズを2Kbytesに制限するプログラムが突然終了する
• Windows 2000 SP4においてターミナル・サービスに対応していないアプリケーションの.iniファイルにアクセスできない

・サポート技術情報 924867（2,048 バイトのアプリケーション スタック サイズを制限するプログラムは、セキュリティ更新プログラム 917422 のインストール後、実行されない可能性があります）
http://support.microsoft.com/default.aspx?scid=kb;ja;924867（機械翻訳）

・サポート技術情報 924066（Windows 2000 Service Pack 4 を実行しているコンピュータにセキュリティ更新プログラム 917422 をインストールした後、ターミナル サービスに対応していないプログラムで問題が発生する）
http://support.microsoft.com/default.aspx?scid=kb;ja;924066

・HotFix Alert MS06-051（Windows OSの例外処理の脆弱性により、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2006/ms06-051.html

　マイクロソフトによれば、アプリケーション・スタック・サイズを2Kbytesに制限するプログラムの不具合が発生するのは、確認されている限り、CD／DVDコピー防止ソフトウェアなど限定されたアプリケーションのみであるということだ。

　Windows 2000 SP4の不具合は、GetWindowsDirectory関数が正しいディレクトリ情報を返さなくなることが原因であるとしている。この不具合により、ターミナル・サービスに対応していないアプリケーションを、ターミナル・サービス環境で実行すると不具合が発生する可能性があるということだ。

　スタック・サイズの制限に関する不具合（「サポート技術情報：924867」）は、一般公開されている修正プログラムを適用することで解消可能である。なお、2006年10月24日現在、Windows Server 2003向けとして提供されている修正プログラムは、Windows Server 2003 SP未適用には対応しておらず、適用できないので注意が必要だ（サポート技術情報を読む限り、Windows Server 2003 SP未適用にも不具合が存在すると思われる）。

　またターミナル・サービスに関する不具合（「サポート技術情報：924066」）を解消する修正プログラムは一般公開されておらず、マイクロソフトの製品サポート・サービスに連絡して入手できる、とのことだ。もっとも、公開されている更新対象のファイルのバージョンを比べた限りでは、この修正は「サポート技術情報：924867」の不具合修正プログラムに反映されているものと思われる。「サポート技術情報：924066」の不具合が生じている場合は、まず「サポート技術情報：924867」の不具合修正プログラムを適用して様子を見るとよい。

・ダウンロード・センター（Windows 2000 用の更新プログラム (KB924867)）：
http://www.microsoft.com/downloads/details.aspx?
FamilyID=96ccef68-f8e7-4ced-a446-39a51eeafced&DisplayLang=ja

・ダウンロード・センター（Windows XP 用の更新プログラム (KB924867)）：
http://www.microsoft.com/downloads/details.aspx?
FamilyID=9491b57b-f5c0-493b-8c3f-402026e01714&DisplayLang=ja

・ダウンロード・センター（Windows Server 2003 用の更新プログラム (KB924867)）：
http://www.microsoft.com/downloads/details.aspx?
FamilyID=92e56cc5-1bfc-4a7e-ad06-a25db2d1f029&DisplayLang=ja

情報の対象：
　Windows 2000 SP4
　Windows XP SP1／SP1a／SP2
　Windows Server 2003 SP1

HotFix Report BBS関連スレッド：
・MS06-051の適用後、プログラムが突然終了する不具合を解消する修正プログラム（KB924867）
http://bbs.hotfix.jp/ShowPost.aspx?PostID=6019#6019