このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2003/11/13日版

   
【登録日】2003/11/12
【更新日】2003/12/10
深刻度
1(緊急)
  2(重要)
  3(警告)
  4(注意)
対策
至急適用
再起動の必要性
あり
アンインストール
対象環境
サーバ
クライアント
セキュリティ情報
MS03-048(日本)
MS03-048(US)
サポート技術情報
よく寄せられる質問
セキュリティ情報
fq03-048
含まれる過去の修正
脆弱性識別番号
更新履歴
2003/11/12 セキュリティ情報ページを公開
MS03-048/824145
クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet Explorer用の累積的な修正
(Internet Explorer 用の累積的なセキュリティ更新)
 

対応策: 修正プログラムの適用作業を至急開始してください。
 
概要

 Internet Explorer(IE)に新たに5つの脆弱性が確認されました。この脆弱性が悪用されることにより、Webサイトへのアクセスで任意のコードが実行されたり、攻撃用スクリプトが仕込まれたHTMLメールを読むことでファイルや情報が窃取されたりする危険性があります。

 
対象プラットフォーム
 修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
 
影響を受けるソフトウェア 対象プラットフォーム
Internet Explorer 5.01 SP2 Windows 2000 SP2+IE 5.01 SP2
Internet Explorer 5.01 SP3 Windows 2000 SP3+IE 5.01 SP3
Internet Explorer 5.01 SP4 Windows 2000 SP4+IE 5.01 SP4
Internet Explorer 5.5 Windows 98/98 SE/Me/NT 4.0 SP6a/2000 SP2/2000 SP3/2000 SP4+IE 5.5 SP2
Internet Explorer 6 Windows XP SP未適用+IE 6
Internet Explorer 6 SP1 Windows 98 SE/Me/NT 4.0 SP6a/2000 SP2/2000 SP3/2000 SP4/XP SP未適用/XP SP1/XP SP1a+IE 6 SP1
Internet Explorer 6 for Windows Server 2003 Windows Server 2003+IE 6
(注意)Windows 98/98 SE/Me/Windows Server 2003は、UpdateEXPERTのサポート対象外です。
 
詳細情報

 新たに確認された脆弱性は、以下の5つです。

  • IEのクロスドメイン・セキュリティ・モデルに関連する以下3つの脆弱性
      − ExecCommandのクロスドメインの脆弱性
      − 関数ポインタ上書きのクロスドメインの脆弱性
      − スクリプトURLのクロス ドメインの脆弱性
  • IEのXMLオブジェクトにゾーン情報が渡される方法に関連する脆弱性
  • IEのダイナミックHTML(DHTML)イベント中のドラッグ・アンド・ドロップ操作に関連する脆弱性

 IEのクロスドメイン・セキュリティ・モデルの脆弱性は、「TechNetセキュリティ情報:MS03-032(Internet Explorerがオブジェクトの種類を適切に確認できないため任意のプログラムが実行できる可能性などを含む、Internet Explorerの累積的な修正)において、1度修正が行われています。しかし、今回新たに関連する3つの脆弱性が確認されています。

 クロスドメイン・セキュリティ・モデルとは、現在アクセスしているWebサイトが、別のドメインの情報にアクセスできないようにするものです。これにより、Webサイトにアクセスしているコンピュータのローカル・システムも異なるドメインとなるため、Webサイト側からローカル・システムのファイルなどにアクセスすることはできません。逆にいえば、この部分に脆弱性が存在すると、悪意のあるWebサイトにユーザーがアクセスするだけで、ユーザーのコンピュータ上のファイルが読み取られたり、ログインしているユーザーのセキュリティ・コンテキストで任意のコードが実行されたりする危険性があるわけです。すでに、セキュリティ関連の掲示板などでは、クロスドメイン・セキュリティ・モデルの脆弱性を実証するコードが配布されています。このコードが悪用され、攻撃に利用される可能性もあります。

 XMLオブジェクトの脆弱性では、ユーザーが悪意のあるWebサイトにアクセスするか、攻撃用データを含むHTML形式の電子メールを表示すると、攻撃者によってユーザーのコンピュータ上にあるローカル・ファイルが読み取られる危険があります。なお、WebページもしくはHTML形式の電子メールを表示すると、HTMLファイルをダウンロードするかどうかの確認メッセージが表示されます。ここで、キャンセルを行えば、攻撃は実行されません。

 DHTMLイベント中のドラッグ・アンド・ドロップ操作の脆弱性では、悪意のあるWebサイトにユーザーが誘導され、そこでリンクをクリックすると、攻撃者がユーザーのコンピュータ上のフォルダ名が明らかな場所(C:\やC:\WINNTなど)にファイルを保存可能になります。また不正なリンクを含むHTML形式の電子メールをユーザーが受信し、メッセージ内に攻撃用として配置されたリンクをユーザーがクリックすることで、攻撃を受ける可能性もあります。この脆弱性とクロスドメイン・セキュリティ・モデルの脆弱性とを組み合わせて悪用されると、攻撃者の任意のコードがユーザーのコンピュータ上に送り込まれ、実行される可能性があります。最悪の場合、これによりシステムが破壊される危険性があります。

■修正プログラム適用後の注意
 Windows 2000+IE 5.01ならびにWindows NT 4.0/2000+IE 5.5の環境では、修正プログラムを適用して再起動した後に管理者権限でのログオンが必要です。再ログオンするまで適用は完了しません。

 また、MS03-004/MS03-015/MS03-020/MS03-032/MS03-040(いずれも累積的な更新)で提供された修正プログラムと同様、この修正プログラムの適用後、マイクロソフトの「サポート技術情報:811630」から最新のHTMLヘルプ・コントロールをインストールする必要があります。最新のHTMLヘルプ・コントロールがインストールされていない場合、MS03-048の修正プログラムを適用することで、HTMLヘルプ機能が使用できなくなりますのでご注意ください。詳細については、以下の技術情報をご参照ください。

・マイクロソフト サポート技術情報 811630(window.showHelp() メソッドで呼び出されたときの機能を制限するための HTML ヘルプ の更新):
http://support.microsoft.com/default.aspx?scid=kb;ja;811630

■Windows Media Playerの修正プログラムのインストールを推奨
 前回の累積的な修正プログラムであるMS03-040では、「サポート技術情報:828026」のWindows Media Playerの修正プログラムも合わせて適用することが推奨されていました。この修正プログラムは、ダイナミックHTMLの動作を悪用した攻撃によって、Windows Media Playerが不正なURLを開いてしまうことを防ぐものです。マイクロソフトの発表によれば、これは「セキュリティ修正プログラムではありません」としていますが、ほかの脆弱性と合わせた攻撃に悪用される危険性が高いものです。まだ「サポート技術情報:828026」の修正プログラムを適用していない場合は、今回のMS03-048の修正プログラムと合わせて適用を行ってください。

・マイクロソフト サポート技術情報 828026(Windows Media Player の URL スクリプト コマンド機能の更新):
http://support.microsoft.com/default.aspx?scid=kb;ja;828026

 
DA Lab:HotFixテスティング・チームからのコメント

 修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。

 Windows 2000 SP4の提供後に発表されたMS03-032から、IE 5.01 SP3/SP4を対象とするIEの累積的な修正プログラムは1つの共通パッケージとしてリリースされてきました。ところが、今回のMS03-048では、IE 5.01 SP2/SP3/SP4用がそれぞれ別々に提供されています。修正プログラムの内部を調べたところ、IE 5.01 SP2用とSP3用は、修正プログラム本体のサイズが異なるものの、置き換えられるファイルとINFファイルの内容は、バージョン番号も含めてまったく同じものでした。一方、IE 5.01 SP3用とSP4用では、PNGFILT.DLLとSHLWAPI.DLLの2つのファイルにバージョン番号以外の違いが見つかりました。

 MS03-048の修正プログラムで新たに更新されるファイルは、前回の累積的な修正プログラム(MS03-040)よりも新しいものなので、本来はより大きなバージョン番号が与えられるべきです。しかし今回のMS03-048では、IE 5.01 SP3用だけに限って、なぜか古い修正プログラムであるMS03-032/MS03-040よりも小さな(若い)バージョン番号がファイルに付けられています。英語版の「Microsoft Security Bulletin:MS03-048」によれば、「この修正プログラムでは、IE 5.01 SP3のヘルプ画面で生じる問題を修正するためにIE 5.01 SP3用とIE 5.01 SP4用のパッケージを分離し、その結果IE 5.01 SP3の環境ではファイルのバージョンが小さくなった」としています。また同じドキュメントでは、「IE 5.01 SP3の環境ではファイルのバージョンが小さくなっているが、脆弱性はすべて解消されている」とも説明しています。

・Microsoft Security Bulletin MS03-048(Cumulative Security Update for Internet Explorer )(英語):
http://www.microsoft.com/technet/security/bulletin/ms03-048.asp

 しかし、ファイルのバージョンが小さくなっているため、MS03-048の修正プログラム適用後、ほかの修正プログラムを適用すると、最新の脆弱性が解消されていないMS03-048よりも古いファイルに置き換えられてしまう可能性があります。DA Labで検証したところ、MS03-040の修正プログラムにこの障害が発生することが分かりました。MS03-040は、置き換えるファイルのバージョンをチェックして適用の可否を判断しているため、MS03-048を適用した後にこれを適用すると、ファイルが古い(しかし、バージョンの大きい)ものに置き換えられてしまいます。このように障害があることから、IE 5.01 SP3用の修正プログラムが再リリースされる可能性があります。この件については、現在、DA Lab:HotFixテスティング・チームからマイクロソフトに対し問い合わせを行っています。

■killbitの設定について
 MS03-048は、MS03-040と同様、以下のファイルのkillbit(HTMLレンダリング・エンジンにより、ActiveXコントロールが読み込まれないようにするInternet Explorerのセキュリティ機能)を設定します。Killbitは、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\CLSID値に示すレジストリ・キーの「Compatibility Flags」に対して「0x400(DWORD)」を設定することで有効になります。各ファイルのkillbitは、すでに下表のTechNetセキュリティ番号で示した修正プログラムおよびMS03-040によって設定しています。MS03-048は、これらの修正プログラムによってkillbitが設定されていない場合にのみ、killbitをセットします。

ファイル名 説明 CLSID値 セキュリティ番号
Hhctrl.ocx Microsoft HTML Help Control ADB880A6-D8FF-11CF-9377-00AA003B7A11 MS02-050
Plugin.ocx ActiveX plug-in control 06DD38D3-D187-11CF-A80D-00C04FD74AD8 MS03-015
XWeb.ocx DirectX Files Viewer control 970C7E08-05A7-11D0-89AA-00A0C9054129 MS02-066
BR549.dll Windows Report Control 167701E3-FDCF-11D0-A48E-006097C549FF MS03-032
 
追加情報(2003/12/10)
MS03-048を適用するとショートカット・メニューの動作が不正になる不具合
情報ソース マイクロソフト
不具合の内容 機能不全
発生条件 MS03-048をIEに適用
報告日 2003年12月4日

 マイクロソフトは、Internet Explorer(IE) 6.0 SP1(Build 6.0.2800.1106)に「TechNetセキュリティ情報:MS03-048(クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet Explorer用の累積的な修正)」の修正プログラムを適用すると、スクロール・バー上で右クリックした際のショートカット・メニューの動作がおかしくなる場合があることを明らかにしました。

不具合の対象:
 Internet Explorer 6.0 SP1

詳細:
 Internet Explorer(IE) 6.0 SP1にMS03-048の修正プログラムを適用すると、この不具合が発生します。不具合は、スクロール・バー上で右クリックした際に表示されるショートカット・メニューが、メニュー内の項目を選択しても表示されたままになるというものです。さらに、その表示されたままの状態となったショートカット・メニュー内の項目を選択すると、IEのボディ部分を右クリックした際に表示されるショートカット・メニューが表示されます。DA Labでも、IE 6.0 SP1において、この不具合を確認しました。なおIE 6.0 SP1以外の環境では、この不具合は確認されていません。

・サポート技術情報 833298(スクロール バーを右クリックした際のショートカット メニューが正しく動作しない):
http://support.microsoft.com/default.aspx?scid=kb;ja;833298

 現在のところ、この不具合に関してマイクロソフトから修正プログラムの提供は行われていません。

 MS03-048の修正プログラムによって生じる不具合としては、すでに「Internet Explorerの画面スクロールが正しく行われなくなる不具合」「エクスプローラの『関連項目』のリンクが機能しなくなる不具合」が報告されています。ただし、これらの不具合はシステムが壊れるなどの致命的なものではありません。さらに異なる不具合が発見される可能性もありますが、MS03-048で修正されるIEの脆弱性は危険性が高いため、これらの不具合が業務に重大な支障を及ぼさないかどうか十分な検証を実施した後、修正プログラムの適用を行ってください。

 
追加情報(2003/12/03)
MS03-048を適用しても解消されないInternet Explorerの脆弱性の回避策
情報ソース セキュリティ関連サイト/DA Lab
不具合の内容 脆弱性の未解消
発生条件 MS03-048をIEに適用

 セキュリティ関連の掲示板などに、Internet Explorer(IE)向けの最新の累積的なセキュリティ修正プログラムである「TechNetセキュリティ:MS03-048(クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet Explorer用の累積的な修正)」を適用しても、解消しない脆弱性が存在することが報告されています。IEについては、今回報告されたものも含め、実証コードが公開されているものだけでも、現在19種類の脆弱性が明らかになっています。これらの脆弱性に対しては、まだマイクロソフトから修正プログラムが提供されていないので、IEでActiveXコントロールやスクリプトの実行を制限するなどの設定変更を行ってください。

不具合の対象:
 Internet Explorer 5.01 SP2/SP3/SP4
 Internet Explorer 5.5 SP2
 Internet Explorer 6 SP未適用/SP1
 Internet Explorer 6 for Windows Server 2003

詳細:
 11月25日にLiu Die Yu氏(中国のセキュリティ研究者)が、セキュリティ関連のメーリングリスト「BugTraq」にIEの脆弱性に関する新たな7種類の実証コードを公開しました。実証コードが公開されていながら、修正プログラムによって解消されていない過去のものも含めると、これで19種類の脆弱性が存在することになります。これらの脆弱性は、現在のところ修正プログラムが提供されていないばかりか、実証コードの公開によって、いつでもワームなどの攻撃コードが作成可能な状態にあります。つまり、非常に危険な状態に置かれているわけです。

・BugTraqのアーカイブ・ページ:
http://www.securityfocus.com/archive/1

 DA Labでは、これらの実証コードのいくつかを実際に試してみました。その結果、ActiveXコントロールとスクリプトの実行を制限することが回避策として有効であることが分かりました。具体的には、IEの[ツール]−[インターネット オプション]−[セキュリティ]タブで、インターネット・ゾーンとイントラネット・ゾーンのそれぞれにおいて[レベルのカスタマイズ]を実行し、「ActiveXコントロールとプラグイン」と「スクリプト」にある全設定を「無効にする」か「ダイアログを表示する」に変更します。「無効にする」に設定した方が安全ですが、Webアプリケーションなどが動作しなくなる可能性もありますので、利用環境に合わせて設定してください。

 さらにIEによる不正なプログラムのダウンロードや不正なアクセスを検知可能なウイルス対策ソフトウェア(多くのウイルス対策ソフトウェアが対応済み)を導入することで、いくつかの脆弱性が防げることも分かりました。一部の実証コードは、脆弱性を攻撃することで不正なプログラムをダウンロードするように仕向けます。ウイルス対策ソフトウェアは、この不正なプログラムの保存を検知して警告を表示するようです。実際の攻撃においても、不正なプログラムのダウンロードを防ぐことで、システムを守ることが可能だと思われます。

 これらの回避策により、IEの安全性を高めることが可能です。しかし一部の脆弱性については、これらの回避策によっても防ぐことができませんでした。回避策を実行後、さらに素性の明らかでないWebサイトへのアクセスしない、差出人不明のHTMLメールを開かない、といったルールを守ることが重要です。

 
不具合情報(2003/11/26)
MS03-048を適用するとInternet Explorerの画面スクロールが正しく行われなくなる不具合
サポート技術情報 832270(障害)
情報ソース マイクロソフト
不具合の内容 機能不全
発生条件 MS03-048をIEに適用

 マイクロソフトは、「TechNetセキュリティ情報:MS03-048(クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet Explorer用の累積的な修正)」を適用すると、Internet Explorer(IE)の画面スクロールが正しく行われなくなる不具合が発生することを明らかにしました。

不具合の対象:
 Internet Explorer 5.01 SP2/SP3/SP4
 Internet Explorer 5.5 SP2
 Internet Explorer 6 SP未適用/SP1
 Internet Explorer 6 for Windows Server 2003

詳細:
 IEのスクロール・バーの空白部分をクリックすると、以下の不具合が発生します。

  • 本来は1ページ分のスクロールが行われるはずが2ページ分スクロールします。
  • 画面の一部を選択してスクロールすると選択範囲が解除されます。

 現在のところ、この不具合に対する修正プログラムは提供されていません。マイクロソフトでは、[Page Up][Page Down]キーや、上下矢印キーを利用して画面のスクロールを行うことで、この不具合を回避できるとしています。

 MS03-048の修正プログラムを適用することで、このような不具合が発生するものの、適用によってリスクの高い脆弱性が解消されます。MS03-048の修正プログラムで解消される脆弱性は、すでに10種類以上のエクスプロイト・コードが公開されています。脆弱性を悪用したワームなどの登場も懸念されるため、不具合があっても、修正プログラムを適用することをお勧めします。

 マイクロソフトによれば、「サポート技術情報:827667([IE] Q822925 または Q828750 を適用すると相対 URL を使用したスクリプトで HTTP 404 エラーが発生する)」で提供されている修正プログラムq827667.exeを適用すると、MS03-048と同様に、上記の不具合が発生するとのことです。

・マイクロソフトのサポート技術情報 827667(Q822925またはQ828750を適用すると相対URLを使用したスクリプトでHTTP 404エラーが発生する):
http://support.microsoft.com/default.aspx?scid=kb;ja;827667

 
不具合情報(2003/11/26)
Windows 2000にMS03-048を適用するとエクスプローラの「関連項目」のリンクが機能しなくなる不具合
サポート技術情報 832547(障害)
情報ソース マイクロソフト
不具合の内容 機能不全
発生条件 MS03-048をWindows 2000に適用

 マイクロソフトは、「TechNetセキュリティ情報:MS03-048(クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet Explorer用の累積的な修正)」をWindows 2000に適用すると、エクスプローラの「関連項目」のリンク([デスクトップ][マイ ドキュメント][マイ コンピュータ]など)が機能しなくなる不具合が発生することを明らかにしました。

不具合の対象:
 Windows 2000+Internet Explorer 5.01 SP2/SP3/SP4
 Windows 2000+Internet Explorer 5.5 SP2
 Windows 2000+Internet Explorer 6 SP1

詳細:
 Windows 2000において、エクスプローラの[フォルダ オプション]で[Webの表示]を[フォルダでWebコンテンツを使う]にしていた場合、エクスプローラやマイ コンピュータの左側に[関連項目]のリンク([デスクトップ][マイ ドキュメント][マイ コンピュータ]など)が表示されます。MS03-048の修正プログラムを適用すると、このリンクが機能しなくなります(クリックしてもリンク先へのジャンプしません)。この不具合を修正する修正プログラムは、現在のところ提供されていません。

 
適用されるファイル情報
 以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
 
・Internet Explorer 5.01 SP2:
ファイル名 日付 バージョン サイズ
q824145.exe 2003/11/07 5.50.4925.2200
1,927,512
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32
MSHTML.DLL 2003/10/17 5.0.3523.1700
2,282,768
Microsoft HTML Viewer
PNGFILT.DLL 2003/08/19 5.0.3521.1800
48,912
IE PNG plugin image decoder
SHDOCVW.DLL 2003/10/17 5.0.3523.1700
1,099,536
Shell Doc Object and Control Library
SHLWAPI.DLL 2003/10/17 5.0.3521.1800
279,824
Shell Light-weight Utility Library
URL.DLL 2003/10/17 5.50.4915.500
84,240
Internet Shortcut Shell Extension DLL
URLMON.DLL 2003/10/17 5.0.3523.200
409,360
OLE32 Extensions for Win32
WININET.DLL 2003/10/17 5.0.3521.1800
445,200
Internet Extensions for Win32
 
・Internet Explorer 5.01 SP3:
ファイル名 日付 バージョン サイズ
q824145.exe 2003/10/21 5.50.4925.2200
1,927,552
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32
MSHTML.DLL 2003/10/17 5.0.3523.1700
2,282,768
Microsoft HTML Viewer
PNGFILT.DLL 2003/08/19 5.0.3521.1800
48,912
IE PNG plugin image decoder
SHDOCVW.DLL 2003/10/17 5.0.3523.1700
1,099,536
Shell Doc Object and Control Library
SHLWAPI.DLL 2003/10/17 5.0.3521.1800
279,824
Shell Light-weight Utility Library
URL.DLL 2003/10/17 5.50.4915.500
84,240
Internet Shortcut Shell Extension DLL
URLMON.DLL 2003/10/17 5.0.3523.200
409,360
OLE32 Extensions for Win32
WININET.DLL 2003/10/17 5.0.3521.1800
445,200
Internet Extensions for Win32
URL.DLLは、MS03-040と同じです。WININET.DLLは、MS03-040とバージョン番号のみの違いです。
 
・Internet Explorer 5.01 SP4:
ファイル名 日付 バージョン サイズ
q824145.exe 2003/11/07 5.50.4925.2200
1,927,040
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32
MSHTML.DLL 2003/10/17 5.0.3810.1700
2,282,768
Microsoft HTML Viewer
PNGFILT.DLL 2003/06/12 5.0.3806.1200
48,912
IE PNG plugin image decoder
SHDOCVW.DLL 2003/10/17 5.0.3810.1700
1,099,536
Shell Doc Object and Control Library
SHLWAPI.DLL 2003/08/18 5.0.3806.1200
279,824
Shell Light-weight Utility Library
URL.DLL 2003/08/18 5.50.4915.500
84,240
Internet Shortcut Shell Extension DLL
URLMON.DLL 2003/10/03 5.0.3810.200
409,360
OLE32 Extensions for Win32
WININET.DLL 2003/08/18 5.0.3806.1200
445,200
Internet Extensions for Win32
ファイル名の背景がさくら色のファイルが、MS03-048で更新されるものです(それ以外は、MS03-040と同一バージョンのファイルです)。
 
・Internet Explorer 5.5 SP2:
ファイル名 日付 バージョン サイズ
q824145.exe 2003/10/21 5.50.4925.2200
2,336,656
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32
MSHTML.DLL 2003/10/16 5.50.4934.1600
2,760,976
Microsoft HTML Viewer
PNGFILT.DLL 2003/10/16 5.50.4922.900
48,912
IE PNG plugin image decoder
SHDOCVW.DLL 2003/10/16 5.50.4934.1600
1,149,712
Shell Doc Object and Control Library
SHLWAPI.DLL 2003/10/16 5.50.4930.1200
300,816
Shell Light-weight Utility Library
URL.DLL 2003/10/16 5.50.4915.500
84,240
Internet Shortcut Shell Extension DLL
URLMON.DLL 2003/10/16 5.50.4934.200
451,344
OLE32 Extensions for Win32
WININET.DLL 2003/10/16 5.50.4918.600
481,552
Internet Extensions for Win32
ファイル名の背景がさくら色のファイルが、MS03-048で更新されるものです(それ以外は、MS03-040と同一バージョンのファイルです)。
 
・ Internet Explorer 6:
ファイル名 日付 バージョン サイズ
q824145.exe 2003/10/21 6.0.2800.1168
2,652,280
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32
MSHTML.DLL 2003/10/16 6.0.2734.1600
2,763,776
Microsoft HTML Viewer
PNGFILT.DLL 2003/08/15 6.0.2722.900
34,304
IE PNG plugin image decoder
SHDOCLC.DLL 2003/10/16 6.0.2715.400
548,864
Shell Doc Object and Control Library
SHDOCVW.DLL 2003/10/16 6.0.2734.1600
1,336,832
Shell Doc Object and Control Library
SHLWAPI.DLL 2003/10/16 6.0.2730.1200
391,168
Shell Light-weight Utility Library
URL.DLL 2003/10/16 6.0.2715.400
109,568
Internet Shortcut Shell Extension DLL
URLMON.DLL 2003/10/16 6.0.2734.200
481,792
OLE32 Extensions for Win32
WININET.DLL 2003/10/16 6.0.2718.400
583,168
Internet Extensions for Win32
ファイル名の背景がさくら色のファイルが、MS03-048で更新されるものです(それ以外は、MS03-040と同一バージョンのファイルです)。
 
・ Internet Explorer 6 SP1:
ファイル名 日付 バージョン サイズ
q824145.exe 2003/10/21 6.0.2800.1168
2,223,744
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32
MSHTML.DLL 2003/10/16 6.0.2800.1276
2,799,104
Microsoft HTML Viewer
SHDOCVW.DLL 2003/10/16 6.0.2800.1276
1,339,392
Shell Doc Object and Control Library
SHLWAPI.DLL 2003/10/16 6.0.2800.1276
395,264
Shell Light-weight Utility Library
URLMON.DLL 2003/10/17 6.0.2800.1282
484,352
OLE32 Extensions for Win32
 
・ Internet Explorer 6 for Windows Server 2003:
ファイル名 日付 バージョン サイズ
WindowsServer2003-KB824145-x86-JPN.exe 2003/09/23 5.3.23.4
4,354,664
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32
mshtml.dll 2003/10/25 6.0.3790.94
2,918,400
Microsoft HTML Viewer
shdocvw.dll 2003/10/25 6.0.3790.94
1,394,176
Shell Doc Object and Control Library
urlmon.dll 2003/10/25 6.0.3790.96
503,808
OLE32 Extensions for Win32
 
確認方法

 Internet Explorerを起動し、[ヘルプ]−[バージョン情報]をクリックします。表示されたダイアログ・ボックスの[更新バージョン]フィールドにQ824145が表示されていることを確認して下さい。

 
修正プログラム

 手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。

・Internet Explorer 5.01 SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyID=221616d4-5893-4da4-a223-b0de548d6d83&DisplayLang=ja

・Internet Explorer 5.01 SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyID=f4853d8f-f66c-4d8a-9979-3b4f540f90a8&DisplayLang=ja

・Internet Explorer 5.01 SP4:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c15e2db3-14e2-43a4-a1a1-676374b66517&DisplayLang=ja

・Internet Explorer 5.5 SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyID=e438afd4-df70-448c-8925-1075c8be6c5e&DisplayLang=ja

・ Internet Explorer 6.0 SP未適用:
http://www.microsoft.com/downloads/details.aspx?FamilyID=4c4d22f0-fbf7-4ea6-9cc2-27d104d4198e&DisplayLang=ja

・Internet Explorer 6.0 SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d8543e9-0e2b-46c9-b6c6-12de03860465&DisplayLang=ja

・ Internet Explorer 6 for Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7D0D02DD-8940-48E0-B163-3FCDCB558F21&displaylang=ja

 また、MS03-048の全修正プログラムはWindows Updateからも適用可能です。

 
参考情報

 何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。

・インターネット/イントラネット・ゾーンでActiveXコントロールを実行する前にダイアログを表示する設定に変更する
 IEの[インターネット オプション]−[セキュリティ]の設定を変更し、ActiveXコントロールが実行される前にダイアログが表示されるようにします。これにより、ユーザーの意図しないActiveXコントロールがインストールされることを防ぎ、攻撃を回避することができます。設定方法は以下の手順に従ってください。

  1. IEの[ツール]−[インターネット オプション]メニューを選択します。
  2. [セキュリティ]タブを選択します。
  3. [インターネット]ゾーンのアイコンをクリックし、[レベルのカスタマイズ]ボタンをクリックします。
  4. [設定]の下から[ActiveX コントロールとプラグイン]を見つけ、[ActiveX コントロールとプラグインの実行]と[スクリプト]の[アクティブ スクリプト] の2つを[ダイアログを表示する]に変更します。
  5. [イントラネット]ゾーンに対しても、同じ設定を行います。

 ただしこの設定変更によって、アクセスするWebサイトによっては頻繁にダイアログによる確認表示が行われるようになります。

 
UpdateEXPERTによる予想適用時間
修正プログラム名 50台 100台 250台 500台
q824145.exe
(Internet Explorer 5.01 SP2)
19分 27分 53分 1時間36分
q824145.exe
(Internet Explorer 5.01 SP3)
19分 27分 53分 1時間36分
q824145.exe
(Internet Explorer 5.01 SP4)
19分 27分 53分 1時間36分
q824145.exe
(Internet Explorer 5.5 SP2)
19分 27分 53分 1時間36分
q824145.exe
(Internet Explorer 6)
19分 27分 53分 1時間37分
q824145.exe
(Internet Explorer 6 SP1)
19分 27分 53分 1時間36分
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
 
UpdateEXPERT上の表示

 [展開ビュー]−[IE]タブに「名前: q824145.exe」で登録

 

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。