Kingcope氏は、Windows Vistaに標準でインストールされるメール・クライアント・ソフトウェア「Windows Mail」に、細工したURLをクリックすると、ローカル・マシンやUNCパス上のアプリケーションが実行される危険性があることを報告した。

・Full-disclosure（[Full-disclosure] Microsoft Windows Vista - Windows Mail Client Side Code Execution Vulnerability）：
http://archives.neohapsis.com/archives/fulldisclosure/2007-03/0344.html

　HMTL形式のメールをWindows Mailで開いた後、メール内にある細工されたリンクをクリックすると、リンクで指定されたパス（ローカル・マシンまたはUNCパス）にあるアプリケーションを実行できるということだ。この脆弱性が悪用されると、ユーザーの権限で任意のアプリケーションが実行されてしまう。システム破壊や情報漏えいなどにつながる重大な攻撃が可能なので、十分に注意が必要だ。すでに実証コードも公開されており、悪用される危険性が高くなっている。

　現在のところ、マイクロソフトからこの脆弱性に対する情報や修正プログラムは提供されていない。Windows Mailを利用している場合は、メール内のリンクを不用意にクリックしないなど、運用上の注意による回避策が必要となる。

　マイクロソフトは、日本語版のWindows Server 2003向けサービスパック2（SP2）をリリースした。SP2では、ISOイメージ・ファイルの提供も行われている。インターネットに接続されていない環境やファイル共有にアクセスできない環境で、Windows Server 2003に対してSP2をインストールする場合は、ISOイメージ・ファイルをCD-Rに焼いて利用するとよい。

・ダウンロード・センター（Windows Server 2003 Service Pack 2 (32-bit x86) - 日本語）：
http://www.microsoft.com/downloads/details.aspx?
FamilyID=95ac1610-c232-4644-b828-c55eec605d55&DisplayLang=ja

・ダウンロード・センター（Windows Server 2003 Service Pack 2 (32-bit x86) - ISO-9660 CD Image File - 日本語）：
http://www.microsoft.com/downloads/details.aspx?
FamilyID=1b9fe9e4-1d57-4698-a5cf-db271ed6d90a&DisplayLang=ja

　Windows Server 2003 SP2は、Windows Server 2003 SP未適用／SP1、Windows Server 2003 R2、Windows Storage Server 2003 R2、Windows Small Business Server 2003 SP未適用／SP1、Windows Small Business Server 2003 R2の各エディションにインストール可能だ。ただしWindows Small Business Server 2003 SP未適用／SP1については、一部の環境でSP2がインストールできないということだ（サポート技術情報：932600）。Windows Small Business Server 2003を利用している場合は、事前にサポート技術情報を確認の上、SP2をインストールした方がよい。

・サポート技術情報 932600（一部のシナリオで、 Windows Small Business Server 2003 の完全製品版にアップグレードする前に、または Microsoft Windows Server 2003 に移行する前に、 Windows Server 2003 SP2 を削除する必要があります）：
http://support.microsoft.com/default.aspx?scid=kb;ja;932600（機械翻訳）

　SP2は、これまでのセキュリティ修正プログラムと不具合修正プログラムが多数含まれている。またリモート・インストール・サービスがWindows Deployment Servicesに置き換えられたり、一部の設定が変更されたりするので、インストール前には十分検証を行った方がよい。また今後、SP2をインストールすることによる不具合発生などに関する情報が提供される可能性もあるので、サポート技術情報をこまめにチェックしておくとよいだろう。

・サポート技術情報 914962（Windows Server 2003 2 Service Pack での更新の一覧）：
http://support.microsoft.com/default.aspx?scid=kb;ja;914962（機械翻訳）

　Microsoftは、Microsoft XML Team's WebLogでMSXML4のサポートを2007年第4四半期（10月から12月）で終了することを明らかにした。この時点で、Internet Explorer（IE）からMSXML4を呼び出せないように、killbitを設定するということだ（ほかのアプリケーションからMSXML4を呼び出すことは禁止しない）。

・Microsoft XML Team's WebLog（MSXML4 is going to be kill bit-ed）：
http://blogs.msdn.com/xmlteam/archive/2007/03/12/
msxml4-is-going-to-be-kill-bit-ed.aspx

　MSXML4は、12カ月以内にダウンロード・センターから削除されることになる。また、緊急性の高い脆弱性が見付からない限り、サポートも停止するとしている。

　XML Team'sは、MSXML4からMSXML6 SP1への移行を推奨している。MSXML6 SP1は、MSMXL4の基本機能に対する上位互換性を維持する一方で、一部の仕様や機能が変更されている。このためアプリケーションによっては、MSXML6 SP1への対応が必要となる。MSXML4のサポートが終了する前に、MSXML6 SP1への移行準備を進めた方がよい。

・ダウンロード・センター（Microsoft Core XML Services (MSXML) 6.0 Service Pack 1）：
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&
FamilyID=d21c292c-368b-4ce1-9dab-3e9827b70604

　Mozilla Foundationは、従来のFirefoxで発見されたFTP PASVコマンドの脆弱性を解消したFirefox 1.5.0.11／2.0.0.3の提供を開始した。

・Mozilla Foundation（Mozilla 製品における既知の脆弱性）：
http://www.mozilla-japan.org/projects/security/known-vulnerabilities.html

　今回解消される「FTP PASVコマンドの脆弱性」は、緊急性があまり高くなく、重要度は「低」である。だがMozilla Foundationによれば、この脆弱性が悪用されると、ポート・スキャンが実行され、コンピュータの脆弱性の有無を推測するのに利用される危険性があるということだ。危険性は高くないものの、すでに実証コードが公開されているので、なるべく早期にバージョンアップした方がよい。

　Firefox 1.5／2.0を利用している場合、Firefoxを起動していると自動的に［ソフトウェア更新］ダイアログが表示され、更新が促されるようになっている（デフォルト設定の場合）。指示に従って更新版パッケージをインストールした後、Firefoxを再起動することでバージョンアップが行われる。また、Firefoxの［ヘルプ］−［ソフトウェアの更新を確認］を選択することでも、最新バージョンの有無のチェックとインストールが実行可能だ。

　なおMozilla Foundationは、Firefox 1.5.xに対する修正プログラムの提供は2007年4月24日で終了することを明らかにしている。なるべく早期にFirefox 2へアップグレードした方がよい。