ネットワーク・サービスの1つであるWorkstation Service（WKSSVC.DLL）に未チェック・バッファが存在します。これにより、ユーザーの操作なしで、データの改ざんや破壊、任意のコードが実行されるなどの攻撃を受ける危険性があります。また、この脆弱性を悪用したワームの登場が予想されます。このサービスは、ネットワークにつながっているほとんどのWindowsコンピュータで稼働しているので、ワームなどの攻撃を受けると、広範囲に被害が及ぶ危険があります。

　Workstation Serviceは、ネットワーク接続とネットワーク通信を提供するサービスです。Alerter（警告）やComputer Browser（ブラウザ）、Net Logon（ネットワーク・ログオン）、RPC Locator（RPCロケータ）などが、このサービスを利用します。そのWorkstation Serviceのログ機能に未チェック・バッファが存在することが明らかになりました。

　この脆弱性が悪用されると、攻撃者によってシステムの特権が奪取されたり、Workstation Serviceが異常終了したりします。これにより攻撃者により、プログラムのインストール、データの表示／変更／削除、管理者権限を持つアカウントの作成などが行われる危険性があります。前述したとおり、この脆弱性の影響を受けるコンピュータは多数にのぼるため、これを悪用したワームなどが登場した場合には、Blasterワーム同様、短時間でインターネット／イントラネットが麻痺するほどの影響を受ける可能性があります。至急、修正プログラムの適用を開始してください。

　修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。

　Windows XP用の修正プログラムは、MS03-043と同じです。ただしバージョン番号は、MS03-043の10月30日再リリース版（インストーラなどの不具合を修正したバージョン）となっています。つまり、正確にはMS03-049は、MS03-043の修正プログラムの再リリース版と同じものということになります。従って10月30日以降にWindows XPに対してMS03-043の修正プログラムを適用しているなら、今回のMS03-049を適用する必要はありません。

　以下の各レジストリ・キーならびにファイルを確認してください。

・Windows 2000 SP2／SP3／SP4：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB828749
%SystemRoot%\system32\wkssvc.dllのバージョンが「5.0.2195.6862」

・Windows XP SP未適用：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB828035
%SystemRoot%\system32\msgsvc.dllのバージョンが「5.1.2600.121」
%SystemRoot%\system32\wkssvc.dllのバージョンが「5.1.2600.121」

・Windows XP SP1／SP1a：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB828035
%SystemRoot%\system32\msgsvc.dllのバージョンが「5.1.2600.1309」
%SystemRoot%\system32\wkssvc.dllのバージョンが「5.1.2600.1309」

［訂正］ HotFix Alert速報版において、Windows XPのファイルのバージョンが、間違っておりました。お詫びして訂正させていただきます。

　手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで［日本語］を選択してください。

・Windows 2000 SP2／SP3／SP4：
http://www.microsoft.com/downloads/details.aspx?FamilyID=2467fe46-d167-479c-9638-d4d79483f261&DisplayLang=ja

・Windows XP SP未適用／SP1／SP1a：
http://www.microsoft.com/downloads/details.aspx?FamilyId=F02DA309-4B0A-4438-A0B9-5B67414C3833&DisplayLang=ja

　また、MS03-049の全修正プログラムはWindows Updateからも適用可能です。

　何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。

・ファイアウォールでUDPポート138／139／445、TCPポート138／139／445をブロックする
　ファイアウォールを用いて、UDPポート138／139／445、TCPポート138／139／445をブロックします。これにより、インターネットからのこの脆弱性を悪用する攻撃を防ぐことができます。ただし、ワームに感染したノートPCが直接イントラネット（社内LAN）に接続されるなど、何らかの理由でファイアウォールの内側に持ち込まれた場合、この方法では被害を防止できません。

・Windows XPでインターネット接続ファイアウォール（ICF）機能を有効にする
　Windows XPのICF機能を有効にすることで、インターネットからの受信トラフィックをブロックできます。ただし、攻撃に利用されるTCP／UDPポートは、Workstation Serviceでも利用するため、イントラネット内においては完全にブロックすることができません（ブロックすると共有ファイルなどに影響します）。この脆弱性を悪用したワームなどにより、イントラネット内で攻撃が実行された場合、防ぐことができない可能性があります。

・Workstation Serviceを無効にする
　Workstation Serviceを無効にすることで、この脆弱性のリスクを回避することが可能です。ただし、Workstation Serviceを無効化すると、共有ファイル・リソースや共有印刷リソースに接続できないなど、ネットワーク・サービスの利用が厳しく制限されるため推奨しません。

　Workstation Serviceの無効化は、［管理ツール］−［サービス］で「Workstation」を選択し、［スタートアップの種類］を「無効」にします。さらに、［サービスの状態］で［停止］ボタンをクリックします。Workstation Serviceの無効化は、スタンドアロンでご利用のコンピュータでのみ設定してください。

・Windows 2000 SP2／SP3／SP4：
　［展開ビュー］−［OS］タブに「名前：Windows2000-KB828749-x86-JPN.exe」で登録

・Windows XP SP未適用／SP1／SP1a：
　［展開ビュー］−［OS］タブに「名前：WindowsXP-KB828035-x86-JPN.exe」で登録