マイクロソフトは、OfficeがインストールされたWindows 2000／Windows XP／Windows Server 2003において、自動更新／Microsoft Update／Windows Updateを実行すると、svchost.exe（自動更新サービスを起動するサービス・プログラム）プロセスによって長時間CPU占有率が100％となる不具合があることを明らかにし、それを解消するための修正プログラムとWindows Update Agent 3.0（WUA 3.0）の提供を開始した。WUAとは、Microsoft Update／Windows UpdateやWSUSなどと連携して働くクライアントPC側の修正プログラム検出／適用ソフトウェアのことで、従来はバージョン2.0が使われていた。

・サポート技術情報 937383（Microsoft Update または Windows Update が終了しない）：
http://support.microsoft.com/default.aspx?scid=kb;ja;937383

　この不具合が発生するのは、Windows Installer 3.1を利用するアプリケーション（Officeなど）に対して修正プログラムを適用するか、以下の更新／検出メカニズムを使用した場合である。

• Windows Update／Microsoft Update／自動更新などのマイクロソフトの更新サイト
• WSUS
• MBSA
• Microsoft Systems Management Server（SMS）のインベントリ・ツール

　svchost.exeプロセスによってCPU占有率が100％になり、数分から十数分ほどコンピュータの負荷が非常に高い状態となる。この間、ユーザーはほとんどコンピュータを操作できなくなる。またsvchost.exeがアプリケーション・エラーを起こすこともある。

　2007/02/28日付け配信のHotFix Weeklyで報告したように、この不具合に対しては、すでに修正プログラムがダウンロード・センターで提供されていた。しかし根本的に不具合を解消するものではなく、場合によっては症状が悪化する場合があるなど、問題が残るものであった。

・HotFix Weekly 2007/02/28日付け(svchost.exeによってCPU占有率100％となる不具合を解消する修正プログラムの提供開始)：
http://www.hotfix.jp/archives/alert/2007/news07-0228.html#01

　今回提供された更新版（Windows XP SP2向けはv3、Windows Server 2003 SP1／SP2向けはv5）の不具合修正プログラム（KB927891）とWUA 3.0の両方をインストールすることで、svchost.exeの不具合は解消するとしている（Windows 2000に対しては不具合修正が提供されない。WUA 3.0のみで不具合が解消されるとしている）。実際、DA Labで両方を適用した結果、Office向けの修正プログラムを適用しても、svchost.exeによってCPU占有率が長時間100％のままになる不具合は解消された。

　不具合修正プログラム（KB927891）のみの適用では、症状が悪化する可能性があるので注意が必要だ。必ずWUA 3.0とともに適用すること。WUA 3.0のインストールは、前出の「サポート技術情報：937383」の「Windows Update Agent 3.0をインストールする」の項目にファイルのダウンロードが可能なリンクがあるので、それをクリックし、ファイルを保存した上で実行すればよい。なおサポート技術情報によれば、不具合修正プログラム（KB927891）とWUA 3.0の適用に順番はないということだ。ただ、不具合修正プログラム（KB927891）の適用後にコンピュータの再起動が要求されることが多いので、WUA 3.0→不具合修正プログラム（KB927891）→再起動、という順番でそれぞれ実行すると効率がよいだろう。

・ダウンロード・センター（Windows XP 用の更新プログラム (KB927891)）：
http://www.microsoft.com/downloads/details.aspx?
FamilyID=7a81b0cd-a0b9-497e-8a89-404327772e5a&DisplayLang=ja

・ダウンロード・センター（Windows Server 2003 用の更新プログラム (KB927891)）：
http://www.microsoft.com/downloads/details.aspx?
FamilyID=2a4a8f01-acd6-42a1-bb78-3d83caeda7a7&DisplayLang=ja

　WSUS Product Team Blogによれば、WUA 3.0は2007年5月22日（米国時間）からWSUSによる提供が開始されるということだ。同時にMicrosoft Updateによる提供も開始されるものと思われる。

・WSUS Product Team Blog（Update on svchost/msi performance issue and 3.0 Client distribution plan）：
http://blogs.technet.com/wsus/archive/2007/04/28/update-on.aspx

HotFix Report BBS関連スレッド：
・KB927891の修正プログラムが更新（Re: 自動更新などでOfficeパッチが配布されるとsvchosts.exeが……）
http://bbs.hotfix.jp/ShowPost.aspx?PostID=6749#6749

　マイクロソフトは、「サードパーティ製ドライバが原因で、NTFSファイル・システム・ボリュームでファイルを開く際にSTOPエラーが発生する」という不具合を解消する修正プログラムを自動更新／Microsoft Updateで提供を開始した。

・サポート技術情報 930916（Windows XP ベースのコンピュータの NTFS ファイル システム ボリュームのファイルを開こうとすると、エラー メッセージ:「 0x0000008E を停止します」）：
http://support.microsoft.com/default.aspx?scid=kb;ja;930916（機械翻訳）

　修正プログラム自体は、4月24日にダウンロード・センターで提供が始まったものと同じものだ。自動更新で自動的に配布されるほか、Microsoft Updateを実行すると「優先度の高い更新プログラム」としてリストアップされる。適用後、コンピュータの再起動が必要になるので、注意した方がよい。

・ダウンロード・センター（Windows XP 用の更新プログラム (KB930916)）：
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&
FamilyID=1f13fc08-cef9-4a1d-9276-92d5e0963856

HotFix Report BBS関連スレッド：
・サードパーティ製ドライバのせいでNTFS上のファイルが開けない不具合、修正プログラムあり（KB930916）
http://bbs.hotfix.jp/ShowPost.aspx?PostID=6728

　Andres Tarasco Acuna氏は、「Internet Explorer用の累積的なセキュリティ更新プログラム」で解消された「任意のファイルの書き換えの脆弱性（CVE-2007-2221）」に対する実証コードを公開した。

・514（Ms07-027 ( mdsauth.dll ), Permite la modificacion de ficheros）：
http://www.514.es/2007/05/ms07027_mdsauthdll_permite_la_1.html

・milw0rm（MS07-027 mdsauth.dll NMSA Session Description Object SaveAs control, arbitrary file modification）：
http://www.milw0rm.com/exploits/3892

　「任意のファイルの書き換えの脆弱性」は、インスタンス化が意図されていないメディア・サービス・コンポーネント（mdsauth.dll）によって任意のファイルが書き換え可能となる脆弱性である。マイクロソフトによれば、この脆弱性は非公開で報告されたとのことだが、脆弱性公開の2日後には実証コードが公開されたことになる。

　実証コードは、脆弱性の存在するInternet Explorer（IE）で、細工されたWebページを開くとC:\にboot.iniファイルを保存するというものだ。この実証コードを悪用すれば、スタートアップ・フォルダなどパスが明確なフォルダに、任意のファイルが保存できる。コード自体も非常に簡単なものなので、悪用される危険性が非常に高い。至急、MS07-027の修正プログラムを適用した方がよい。

脆弱性識別番号：
・CVE-2007-2221
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2221

HotFix Report BBS関連スレッド：
・「任意のファイルの書き換えの脆弱性」の実証コード公開（Re: MS07-027［緊急］：Internet Explorer……）
http://bbs.hotfix.jp/ShowPost.aspx?PostID=6777#6777

　マイクロソフトはTechNetセキュリティ情報を更新し、MS06-068の修正プログラムはMS05-032を置き換えるものではなく、それぞれの適用が必要であるとした。

・TechNetセキュリティ情報 MS06-068（Microsoft エージェントの脆弱性により、リモートでコードが実行される）：
http://www.microsoft.com/japan/technet/security/bulletin/ms06-068.mspx

・HotFix Alert MS06-068（Microsoftエージェントのメモリ破損の脆弱性により、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2006/ms06-068.html

　これは、MS05-032の修正プログラムで設定された、MicrosoftエージェントのActiveXコントロール バージョン1.5に対するkillbitが、MS06-068の修正プログラムに含まれていなかったためと思われる。ちなみにバージョン1.5のクラス識別子（CLSID）は{F5BE8BD2-7DE6-11D0-91FE-00C04FD701A5}である。

・TechNetセキュリティ情報 MS05-032（Microsoft エージェントの脆弱性により、なりすましが行われる）：
http://www.microsoft.com/japan/technet/security/bulletin/ms05-032.mspx

　Microsoftエージェントの脆弱性を解消するには、MS06-068の修正プログラムだけではなく、MS05-032の適用も必要なので忘れないように注意したい。

HotFix Report BBS関連スレッド：
・MS06-068［緊急］：Microsoft エージェントの脆弱性により、リモートでコードが実行される
http://bbs.hotfix.jp/ShowPost.aspx?PostID=6127