マイクロソフトは、Windows Updateサイトにおける「TechNetセキュリティ情報：MS03-051（FrontPage Server Extensionsの脆弱性により、任意のコードが実行される危険性）」の修正プログラムのWindows XPに対する検出方法を変更したことを明らかにしました。この影響により、MS03-051の脆弱性が存在しない（FrontPage 2000 Server Extensionsがインストールされていない）Windows XPに対しても、Windows Updateなどが修正プログラムの適用を要求するようになりました。マイクロソフトは、「MS03-051：よく寄せられる質問」において、Windows XPにMS03-051の修正プログラムを適用しても障害が発生するなどの影響はないとしています。

・TechNetセキュリティ MS03-051 よく寄せられる質問：
http://www.microsoft.com/japan/technet/security/bulletin/fq03-051.asp

詳細：
　Windows XP SP未適用／SP1／SP1aにおいて、Windows Updateサイトに接続して「更新をスキャンする」を実行するか、Windows Updateの自動更新を利用していると、MS03-051の修正プログラムを適用することが必要である旨の表示が行われます。これは、Windows UpdateにおけるMS03-051の脆弱性の検出方法が変更になったことにより、FrontPage 2000 Server Extensionsをインストールしていない環境においても適用が必要であると判断されるようになったためです。なお修正プログラム自体の変更はありません。

　FrontPage 2000 Server Extensionsが一度もインストールされていない環境で修正プログラムを実行した場合、dllcache内の古いファイルがMS03-051の最新ファイルで更新されるだけで、FrontPage 2000 Server Extensionsがインストールされるなどの不具合は発生しません。そのためマイクロソフトは、この変更による検出ミスは問題がない、としています。

　ただ今回の変更によって、Windows XP環境ではWindows Updateを利用してMS03-051の脆弱性の有無を判断することはできなくなっています。またDA Labで調査したところ、FrontPage 2000 Server Extensionsを構成する.dllファイルであっても、dllcacheに登録されていないファイルは、MS03-051の修正プログラムを適用しても、更新されるファイルがdllcacheに登録されないことがありました。つまり、dllcacheにある既存のファイルが上書きされるだけで、新規には追加されることはありませんでした。この状態でFrontPage 2000 Server Extensionsをシステムに追加すると、すべてのMS03-051で更新されるファイルがシステムに組み込まれないため、脆弱性を含む古いファイルがインストールされる可能性があります。この問題については引き続きDA Labで調査していますが、従来のようにFrontPage 2000 Server Extensionsがインストール済みの環境に対してMS03-051を適用する方が安全と思われます。なおUpdateEXPERTでは、異なる検出方法を採用しているため、Windows Updateの検出方法変更の影響は受けません。

　セキュリティ関連の掲示板やメーリングリストにおいて、Internet Explorer（IE）のURL解釈に不具合があり、容易にWebサイトの偽装が可能になる脆弱性があるという報告がありました。またマイクロソフトも、Webサイトの偽装に関する警告を「サポート技術情報：833786（Steps that you can take to help identify and to help protect yourself from deceptive Web sites）」に掲載しました。

　今回明らかになった脆弱性は、細工したリンクをクリックすると、IEのアドレス・バーに表示されるURLとは異なるWebサイトが開かれるというものです。この脆弱性を悪用することで、有名通販サイトなどを装い、個人情報を取得するといった偽装行為が可能になります。怪しいリンクはクリックしないようにしてください。

・サポート技術情報 833786（Steps that you can take to help identify and to help protect yourself from deceptive Web sites）（英語）：
http://support.microsoft.com/default.aspx?scid=kb;ja;833786

詳細：
　報告された脆弱性は、IEがURLを正しく解釈しないために起こります。例えば、「http://www.d-advantage.com%01＠www.hotfix.jp」のように2つのURLを「%01@」でつなげた特殊なリンクを［登録サイト］ボタンなどのジャンプ先として設定すると、アドレス・バーに「www.d-advantage.com」を表示させた状態で、「www.hotfix.jp」にジャンプさせることが可能です（注：＠は半角文字です。ウイルス対策ソフトウェアによっては誤認識されるため「＠」としています）。この際、ジャンプ先のWebページのプロパティ（IEの［ファイル］−［プロパティ］メニュー）は、アドレスが「www.d-advantage.com」という偽装されたURLとなりますので注意が必要です。すでにJavaScriptを利用して同様のリンクを作成したり、異なる文字列でURLをつなげることで通常のリンクに対して同様の仕掛けを作成したりする方法が公開されています。また簡単に仕掛けが作成可能であることから、多くの人が、この脆弱性の攻撃方法を試しています。

　DA Labで調べたところ、現在マイクロソフトがサポートしているすべてのIEのバージョンにこの脆弱性があることが分かりました（64bit版は未調査）。また、IEをインストールした直後の状態（修正プログラムが未適用の状態）、「MS03-040（オブジェクト・タイプに関する新たな2つの脆弱性の修正を含む、Internet Explorerの累積的な修正プログラム）」、「MS03-048（クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet Explorer用の累積的な修正の修正プログラム）」の各適用前、適用後においても、この脆弱性が存在することを確認しました。

　公開されている情報から、この脆弱性を悪用したWebサイトが作成される危険性があります。個人情報を入力するようなWebサイトでは、偽装されていないかどうかの確認を十分に行うようにしてください。