このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 

更新日:2003/11/05

■Windows XP向け累積型修正プログラム「Windows XP ロールアップ修正プログラム 1」の提供開始
 マイクロソフトは、Windows XP SP未適用/SP1/SP1a向けにセキュリティ関連の修正プログラムをまとめた修正プログラム「Update Rollup 1 for Windows XP(以下、UR1)」の提供を開始しました。現在、UR1について調査を行っておりますが、現時点で判明している注意点などを解説します。なお、UR1に含まれる修正プログラムは下表のとおりです。「SP未適用」において、表中「×」となっているTechNetセキュリティ情報:MS03-027、サポート技術情報:8811630、サポート技術情報:817287の各修正プログラムは、Windows XP SP未適用を対象としていないため、適用する必要はありません。

・マイクロソフト サポート技術情報 826939(Windows XP ロールアップ修正プログラム 1について):
http://support.microsoft.com/default.aspx?scid=kb;ja;826939

セキュリティ番号 概要/URL SP未適用 SP1/SP1a
セキュリティ関連
MS02-050 証明書確認の問題により、IDが偽装される
http://support.microsoft.com/default.aspx?scid=kb;ja;329115
MS02-054 ファイル展開機能に含まれる未チェックのバッファを利用してコードが実行される
http://support.microsoft.com/default.aspx?scid=kb;ja;329048
MS02-055 Windowsヘルプ機能の未チェックのバッファによってコードが実行される
http://support.microsoft.com/default.aspx?scid=kb;ja;323255
MS02-063 PPTPサービスの未チェック バッファにより、サービス拒否の攻撃を受ける
http://support.microsoft.com/default.aspx?scid=kb;ja;329834
MS02-070 SMB署名の問題によりグループ ポリシーが変更される
http://support.microsoft.com/default.aspx?scid=kb;ja;329170
MS02-071 Windows WM_TIMERメッセージ処理の問題により権限が昇格する
http://support.microsoft.com/default.aspx?scid=kb;ja;328310
MS02-072 Windows Shellの未チェックのバッファによりシステムが侵害される
http://support.microsoft.com/default.aspx?scid=kb;ja;329390
MS03-001 Locator Serviceの未チェックのバッファによりコードが実行される
http://support.microsoft.com/default.aspx?scid=kb;ja;810833
MS03-005 Windowsリダイレクタの未チェックのバッファにより権限が昇格する
http://support.microsoft.com/default.aspx?scid=kb;ja;810577
MS03-007 Windowsコンポーネントの未チェックのバッファによりWebサーバーが侵害される
http://support.microsoft.com/default.aspx?scid=kb;ja;815021
MS03-010 RPCエンドポイント マッパーの問題により、サービス拒否の攻撃が実行される
http://support.microsoft.com/default.aspx?scid=kb;ja;331953
MS03-013 Windowsカーネル メッセージ処理のバッファ オーバーランにより、権限が昇格する
http://support.microsoft.com/default.aspx?scid=kb;ja;811493
MS03-023 HTMLコンバータのバッファ オーバーランにより、コードが実行される
http://support.microsoft.com/default.aspx?scid=kb;ja;823559
MS03-024 Windowsのバッファ オーバーランによりデータが破損する
http://support.microsoft.com/default.aspx?scid=kb;ja;817606
MS03-026 RPCインターフェイスのバッファ オーバーランによりコードが実行される
http://support.microsoft.com/default.aspx?scid=kb;ja;823980
MS03-027 Windowsシェルの未チェックのバッファによりシステムが侵害される
http://support.microsoft.com/default.aspx?scid=kb;ja;821557
×
MS03-039 RPCSSサービスのバッファ オーバーランによりコードが実行される
http://support.microsoft.com/default.aspx?scid=kb;ja;824146
セキュリティ以外の修正プログラム
Windows XPの復元後にネットワーク接続を作成できない
http://support.microsoft.com/default.aspx?scid=kb;ja;329441
ハイパーリンクがデフォルトのブラウザまたはヘルプとサポート センターではなくInternet Explorerで開かれる
http://support.microsoft.com/default.aspx?scid=kb;ja;810565
×
window.showHelp()メソッドで呼び出されたときの機能を制限するためのHTMLヘルプの更新
http://support.microsoft.com/default.aspx?scid=kb;ja;811630
Windows Update Webサイトからドライバの更新をインストールできない場合がある
http://support.microsoft.com/default.aspx?scid=kb;ja;814033
Windows Updateの643エラーとカタログ データベース
http://support.microsoft.com/default.aspx?scid=kb;ja;817287
×

■Windows XP SP1以後の修正しか含まれていない
 UR1には、Windows XP SP1以後の修正しか含まれておらず、Windows XP SP未適用のみが対象となる修正プログラムは別途適用が必要になります。例えば、MS02-051(RDPプロトコルの暗号の問題により、情報が漏えいされる)は、Windows XP SP未適用が対象になっているにもかかわらず、UR1には含まれていません。同様にMS02-050を除く、下表に示したMS02-051以前の修正プログラムの適用が別途必要となります。ただしMS01-54は、MS01-059に含まれるので適用は不要です。

セキュリティ番号 概要/URL
MS01-054 無効なユニバーサル プラグ アンド プレイのリクエストがシステムのオペレーションを妨害する
http://www.microsoft.com/japan/technet/security/bulletin/MS01-054.asp
MS01-059 ユニバーサル プラグ アンド プレイに含まれる未チェックのバッファによりシステムが侵害される
http://www.microsoft.com/japan/technet/security/bulletin/MS01-059.asp
MS02-006 SNMP サービスに含まれる未チェックのバッファにより、任意のコードが実行される
http://www.microsoft.com/japan/technet/security/bulletin/MS02-006.asp
MS02-008 XMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる
http://www.microsoft.com/japan/technet/security/bulletin/MS02-008.asp
MS02-012 不正なデータ送信リクエストにより Windows SMTP サービスが異常終了する
http://www.microsoft.com/japan/technet/security/bulletin/MS02-012.asp
MS02-017 Multiple UNC Provider の未チェックのバッファによりコードが実行される
http://www.microsoft.com/japan/technet/security/bulletin/MS02-017.asp
MS02-029 リモート アクセス サービスの電話帳の未チェックのバッファによりコードが実行される
http://www.microsoft.com/japan/technet/security/bulletin/MS02-029.asp
MS02-045 ネットワーク共有プロバイダの未チェックのバッファにより、サービス拒否が起こる
http://www.microsoft.com/japan/technet/security/bulletin/MS02-045.asp
MS02-048 Certificate Enrollment Control の問題により、デジタル証明書が削除される
http://www.microsoft.com/japan/technet/security/bulletin/MS02-048.asp
MS02-051 RDPプロトコルの暗号の問題により、情報が漏えいされる
http://www.microsoft.com/japan/technet/security/bulletin/MS02-051.asp

■付属コンポーネントに対する修正プログラムは含まれていない
 Internet Explorer(IE)やInternet Information Services(IIS)、Media Player、Microsoft XML(MSXML)、Windows Script、MDAC、DirectXなどのWindows XPが標準でサポートするコンポーネントについては、UR1に含まれません。Windows XP SP1でインストールされるMicrosoft VMも、同様にUR1では更新されません。UR1に含まれる修正プログラムに関連してHTMLヘルプやIEを構成する一部ファイルが更新されますが、これらは例外的なものです。例えば、これまで提供されたIE用の累積的修正プログラムでは、mshtml.dllが更新されましたが、UR1にはmshtml.dllは含まれていません。つまり、UR1を適用しても、ほかのコンポーネントの更新が必要になります。ご注意ください。

■サポート技術情報:814995の不具合修正は含まれない
 UR1に含まれるマイクロソフトの「TechNetセキュリティ情報:MS02-071」には、Windows XP SP1/SP1aに「サポート技術情報:814995」に記されている不具合が生じます。そのため、MS02-071の修正プログラム適用後に、「サポート技術情報:814995」の修正プログラムの適用が必要です。同様にUR1を適用後にも、「サポート技術情報:814995」の修正プログラムを実行してください。ただし、この修正プログラムはWindows XP SP1/SP1aの環境にしか適用できません。

・TechNetセキュリティ情報 MS02-071(Windows WM_TIMER メッセージ処理の問題により、権限が昇格する):
http://www.microsoft.com/japan/technet/security/bulletin/MS02-071.asp

・サポート技術情報 814995(328310 修正プログラムをインストール後、プログラム互換性の修正の一部が機能しなくなる):
http://support.microsoft.com/default.aspx?scid=kb;ja;814995

■Internet Explorer 6.0 SP1(IE 6.0 SP1)をインストールすると、一部ファイルが古いバージョンに戻る
 UR1を適用したWindows XP SP未適用の環境において、IE 6.0 SP1にバージョンアップすると、UR1によって更新された以下の2つのファイルが古いバージョンに戻ってしまいます・

%CommonProgramFiles%\Microsoft Shared\TextConv\html32.cnv
%CommonProgramFiles%\Microsoft Shared\TextConv\MSCONV97.DLL

 これは、UR1に含まれるMS03-023の修正プログラムでも生じる既知の問題です。Windows XPでIEをバージョンアップする場合は、先にIE 6.0 SP1へのバージョンアップを行い、その後にUR1を適用してください。可能であればIE 6.0 SP1を含むWindows XP SP1aをまず適用し、その後UR1を適用することをお勧めします。

・TechNetセキュリティ情報 MS03-023(HTML コンバータのバッファ オーバーランにより、コードが実行される):
http://www.microsoft.com/japan/technet/security/bulletin/MS03-023.asp

■Windows XP用ロールアップ修正プログラム 1も不具合の対象?(2003/11/05 追記)
 「TechNetセキュリティ情報:MS03-042/43/45」のインストーラに不具合が見つかりました。不具合が見つかったバージョン5.3.23.4のUpdate.exeは、Windows XP向け累積型修正プログラム「Windows XP用ロールアップ修正プログラム 1(以下、UR1)」でも採用されています。11月4日現在、マイクロソフトはUR1について、この不具合の対象になるのかどうかを明らかにしていません。DA Labの環境で試したところ、UR1においても同様の不具合を確認しました。そのためUR1についても、近いうちに再リリースされる可能性があります。

 
 
Copyright (C) Digital Advantage Corp.
無断で複製・再配信などを行うことはできません。

HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。