このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの概要 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス

 
UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。
本HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTに関する詳細は、アップデートテクノロジー株式会社のホームページをご参照ください。

■Windows 2000 Service Pack 4で適用されるファイル情報
  Windows 2000 Service Pack 4(SP4)の「適用されるファイル情報」の一覧をHotFix Reportのホームページで公開しました。Windows 2000 SP4を展開したところ、以下のようなフォルダ構造になっていました。ホームページでは、CABファイルを含めて、可能なものについては展開を行い、フォルダごとに一覧にしています。Windowsインストーラ・パッケージ(拡張子が.msiのファイル)については展開が行えないため、その内容については示していません。

[i386] ―― [compdata]      
fp40ext.cab [ia]    
ims.cab [id]    
ins.cab [ip]    
wms4.cab [is]    
[lang] ―― [chs]
[cht]
[jpn]
[kor]
[new]    
sp4.cab    
   
[root]    
[system32]    
[tsclient]    
[uniproc]    
[update]    
[win9xmig] ―― [msi]
[win9xupg] ―― [jpnime]
[winntupg] ―― [ms] ―― [modemmshr]

 また、SP4はWindows 2000のProfessional用、Server用、Advanced Server用の各アップデート・ファイルを1パッケージで提供しているため、Professionalではインストールされないファイルも多く含まれています。またWindows MediaサービスやInternet Explorerなど、アプリケーションのインストール状態やバージョンによって適用されたり、されなかったりするファイルもあります。

■Microsoft VMのアップデートには未対応
 Windows 2000 SP4では、Microsoft VMに関する修正プログラムは含まれていません。そのため、MS03-011(Microsoft VMの問題により、システムが侵害される)の修正は行われません。別途、MS03-011の修正プログラムを適用してください。なお、この修正プログラムは、Windows 2000 SP4に対応したものに更新されており、以前に配布されていたものはWindows 2000 SP4の環境に適用できません。最新版を適用するには、Windows Updateカタログを参照し、オペレーティング・システムとしてWindows 2000 SP4を選んだ上で、「816093 : セキュリティ問題の修正プログラム - Microsoft virtual machine (Microsoft VM)」をダウンロード/適用する必要があります。

・Microsoft VM および Windows 2000 Service Pack 4に関するよく寄せられる質問
http://support.microsoft.com/default.aspx?scid=kb;ja;820101

■含まれる修正/含まれない修正の食い違い
  マイクロソフトは、Windows 2000 SP4による修正項目として、以下の2つの情報をリリースしています。

・Windows 2000 Service Pack 4 修正一覧:サポート技術情報 - 327194
http://support.microsoft.com/default.aspx?scid=kb;ja;327194

・Windows 2000 Service Pack 4 日本語版に含まれるセキュリティ上の修正
http://www.microsoft.com/japan/technet/security/news/W2kSP4.asp

 しかし、これらの情報と実際のWindows 2000 SP4との間に若干の食い違いがあるようです。TechNetのセキュリティ番号ごとに並べてみます。

●MS02-032:Windows Media Player用の累積的な修正プログラム
 Windows 2000 SP4には、MS02-032の修正が含まれていることになっています。単体で公開されたMS02-032には、Windows Media Player 6.4(WMP 6.4)とWindows Media Player 7.1(WMP 7.1)の2種類のWindows Media Playerのバージョンに対する修正が含まれていました。しかしWindows 2000 SP4に含まれるのはWMP 6.4の修正のみのようです。Windows 2000 SP4に含まれるファイルの有無とバージョンによって、WMP 6.4に対する修正プログラムが含まれることを確認しましたが、WMP 7.1に対しては更新されたファイルの一部を見つけることができませんでした。

 実際に、Windows 2000 Professional SP未適用の環境にWindows 2000 SP4を適用し、WMP 7.1に対してMS02-032で修正されたファイルが更新されるかを確認してみました。まず、Windows 2000 Professional SP未適用(WMP 6.4)の環境で、WMP 7.1へアップデートし、Windows 2000 SP4を適用したところ、MS02-032で更新されるファイルよりも古いバージョンが残っていました。念のためWindows 2000 Professional SP未適用に対し、Windows 2000 SP4を適用、その後にWMP 7.1へアップデートした場合でも、同様に古いバージョンのままであったことを確認しました。このことから、Windows 2000 SP4には、WMP 7.1用のMS02-032の修正が一部しか含まれていないものと思われます。WMP 7.1を利用している場合は、MS02-032の修正プログラムを適用することをお勧めします。

●MS02-055:Windowsヘルプ機能の未チェックのバッファにより、コードが実行される
 Windows 2000 Service Pack 4 日本語版に含まれるセキュリティ上の修正について述べられたTechNetの情報によれば、MS02-055はInternet Explorer(IE) 5.01のみが対象であり、IE 5.5/6.0に対してはMS02-055の修正が別途必要であるように読むことができます。しかし、MS02-055は、HTMLヘルプに関する修正であり、本来はOSに対する修正であると思われます。実際、IE 5.5 SP2とIE 6.0 SP1の環境に対して、Windows 2000 SP4を適用したところ、MS02-055の修正が行われていました(置き換えられるファイルのバージョンで確認しました)。

●MS03-014:Outlook Express用の累積的な修正プログラム
 MS03-014に関しては、本来Windows 2000 SP4に含まれているはずの修正ですが、上述の情報ページには一切記述がありません。そこで、Windows 2000 SP4の該当するファイルのバージョンを調べたところ、Outlook Express 5.5 SP2については、MS03-014の修正が含まれていることが分かりました。実際に、Outlook Express 5.5 SP2の環境に対して、Windows 2000 SP4を適用し、その後にMS03-014の修正プログラムの適用を行うと、エラー・メッセージが表示されました。これは、Windows 2000 SP4の適用により、置き換え対象のファイル(Inetcomm.dll)のバージョンが新しくなり、修正プログラムのインストーラにより、MS03-014の適用対象外と認識されてしまったためです。

 Outlook Express 5.5 SP2は、IE 5.01 SP3/4ならびにIE 5.5 SP2に含まれています。これらの環境にWindows 2000 SP4を適用すると、いずれもOutlook Express 5.5 SP2は更新されるため、MS03-014の修正プログラムを適用した状態となります。つまり、IE 5.5用のMS03-014もWindows 2000 SP4に含まれていることになります。ただし、Outlook Express 6.0 SP1用のMS03-014は、Windows 2000 SP4には含まれていませんのでご注意ください。

●MS03-019:Windows MediaサービスのISAPIエクステンションの問題により、コードが実行される
 上述のTechNetの情報には、MS03-019はWindows 2000 SP4に含まれていないと明記されています。ところが、実際にWindows MediaサービスをインストールしたWindows 2000 Serverに対して、Windows 2000 SP4を適用したところ、Nsiislog.dllのバージョンがMS03-019の修正プログラムで置き換えるものと同じになりました(Windows 2000 SP4を適用後にWindows Mediaサービスのインストールを行った場合は、MS03-019も未適用の状態となります)。ただし、Nsiislog.dllについては、その後のMS03-022で再び修正されているため、実際にはMS03-019が含まれている/含まれていないにかかわらず、MS03-022の修正プログラムの適用が必要になります。なお、MS03-022については、Windows 2000 SP4には間に合わず、含まれていません(修正プログラムの適用対象としてWindows 2000 SP4が挙げられています)。

●セキュリティ以外の修正プログラム
 以下のものは、「Windows 2000 Service Pack 4 修正一覧(サポート技術情報 - 327194)」のリストに含まれていませんが、Windows 2000 SP4で対応が行われているようです。DA Labでは、修正プログラムと同じか、新しいバージョンがWindows 2000 SP4に含まれていることを確認しています。

・Q322842_W2K_SP4_X86_JA.exe:外字の登録中にシステムが無応答になる
http://support.microsoft.com/default.aspx?scid=kb;ja;322842

・ Q327384_W2K_SP4_X86_JA.exe:Service Pack 3適用後、いくつかのカウンタでパフォーマンス データの収集が出来なくなる
http://support.microsoft.com/default.aspx?scid=kb;ja;436445

・ Q327269_W2K_SP4_X86_JA.exe:Windows 2000 Service Pack 3の適用後、特定のドッキング ステーションでCardBus PCカードが機能しなくなる
http://support.microsoft.com/default.aspx?scid=kb;ja;327269

 Q327384_W2K_SP4_X86_JA.exeについては、英語版のWindows 2000には影響しない不具合の修正であるため、英語版のサポート技術情報をベースとしたことで、リストから漏れてしまった可能性があります。

■Windows Mediaサービスのインストールに注意
 ネットワーク上のクライアントにメディア・コンテンツをマルチキャストで配信可能にするWindows Mediaサービス 4.1は、Windows 2000 Server/Advanced Server/Datacenter Server(以下、Windows 2000 Server)の標準機能として提供されています(デフォルトではインストールされません)。このWindows Mediaサービスのログ機能に脆弱性が存在し、すでにMS03-019、MS03-022の2回にわたって修正プログラムが提供されています。SP4には、MS03-019の修正プログラムが反映されたWindows Mediaサービス 4.1が含まれています(wms4.cab)。しかし、修正済みのWindows Mediaサービス 4.1は、Windows 2000 ServerにWindows Mediaサービス 4.1がインストール済みの場合にのみ適用されます。

 Windows 2000 Serverに対してSP4を適用し、その後にWindows Mediaサービス 4.1のインストールを行う場合、インストーラはWindows 2000 SP4のCD-ROM(あるいはダウンロード後に展開されたSP4のインストール・ファイル)に含まれるwms4.cabの位置を指定するように求めます。このとき、Windows 2000 ServerのインストールCD-ROMを指定してしまうと、特にエラーも表示せずにインストールが行えます。しかし、このようにWindows 2000 ServerのインストールCD-ROMからインストールした場合は、Windows Mediaサービス 4.1に対する修正(MS03-019)は反映されないため、脆弱性が残ったまま解消されません。SP4適用後にWindows Mediaサービス 4.1をインストールする場合は、必ずSP4のインストール・パッケージに含まれるwms4.cabを指定するようにしてください。なお、SP4では、MS03-022で提供された修正プログラムは反映されていないので、インストール後、必ずMS03-022の修正プログラムの適用を行ってください。

■Internet Explorer 5.01に関するファイルのバージョンが変更
 Windows 2000 SP4には、Internet Explorer 5.01(IE 5.01)用の修正プログラムが含まれています。一方、5.01以降に登場している5.5/6.0用の修正プログラムは含まれていません。これは、Windows 2000のデフォルトのInternet ExplorerがIE 5.01だったためと思われます。SP4以前に提供されたIE 5.01用の修正プログラムは、2003年6月5日に提供されたMS03-020が最後となります。この修正プログラムは、IE 5.01用の累積的な修正となっているため、これに相当するファイルがSP4に含まれていると考えられます。しかし、このMS03-020で提供された修正プログラムとSP4のIE 5.01用のファイルでは、ファイル・バージョンが以下のように異なっています。

  MS03-020 SP4
Mshtml.dll 5.0.3516.2800 5.0.3700.6699
Pngfilt.dll 5.0.3510.1100 5.0.3700.6682
Shdocvw.dll 5.0.3518.2300 5.0.3700.6668
Url.dll 5.50.4915.500 5.0.3502.6601
Urlmon.dll 5.0.3517.1400 5.0.3700.6705
Wininet.dll 5.0.3506.1000 5.0.3700.6713

 このファイル・バージョンの違いが、機能の違いや脆弱性の修正など、何に起因するものなのかは明らかになっていません。未公開の脆弱性が解消されている可能性が否定できないため、IE 5.01を利用している場合は、SP4の適用について早期の検討を行うことをお勧めします。

■SP4適用後にIE 6.0 SP1をインストールすると、バージョンの下がるファイルがある
 SP4の適用後、IE 6.0 SP1をインストールすると、%SystemRoot%\system32\Cryptdlg.dllというファイルのバージョンがSP4のものより下がってしまいます(5.0.1558.6608→5.0.1558.4434)。実は、MS02-050の適用後にIE 6.0 SP1をインストールすると、ほぼ同じ現象が発生することをTechNetセキュリティ情報 MS02-050の「警告」でマイクロソフトは公表しています。原因は、IE 6.0 SP1のインストーラが古いバージョンのファイルを上書きしてしまうためと推測されます。Windows 2000のシステム・ファイル保護機能もこの場合は働かず、DLLキャッシュも古いファイルで上書きされてしまうようです。

・TechNetセキュリティ情報 MS02-050の「警告」:
http://www.microsoft.com/japan/technet/security/bulletin/ms02-050.asp

 弊社では、このバージョン・ダウンの問題を解決する最良の方法を探しており、発見次第、報告する予定です。

■多くのファイルのバージョンが変更
 Windows 2000 SP4では、過去に脆弱性の解消や不具合の修正などが行われたもの以外にも、実に多くのファイルが更新対象となっています。例えば、レジストリ・エディタのRegedit.exe/Regedit32.exeもバージョンが変更されています。残念ながら、バージョンが更新されたファイルに対して、どのような変更が施されたのかは明らかになっていません(変更がなく、単にバージョン番号だけを変更した可能性もあります)が、まだ公開されていない脆弱性がSP4によって解消されていることも考えられます。一方で更新されたDLLとの相性などにより、アプリケーションによっては不具合が生じる可能性もあります。一見するとSP4の適用と直接的に関係がないと思われる部分でも、SP4の適用によって問題が生じる可能性もありますのでご注意ください。

■Windows 2000 SP4をインストールするとログオン時にユーザー・ポリシーが適用されなくなる(2003/10/01追記)
  クライアントにWindows 2000 Service Pack 4(SP4)をインストールすると、ドメインへのログオン時にログオン・スクリプトが実行されなくなることがあります。この障害は、信頼される側のWindows 2000フォレストにあるユーザー・ポリシーにログオン・スクリプトが含まれており、なおかつWindows 2000 SP4上で[フォレスト間ユーザー ポリシーおよび移動ユーザー プロファイルを許可する]ポリシーが有効になっていない場合に発生します。

 この障害は、Windows 2000 SP4上でフォレスト間ユーザー・ポリシーの実行を許可することで解決できます。具体的には、Windows 2000 SP4のクライアント上で以下の操作を行います。

  1. クライアントに管理者権限を持つユーザーでログオンします。
  2. [スタート]−[ファイル名を指定して実行]で「gpedit.msc」と入力して、[OK]をクリックします。 グループ・ポリシー・ツールが起動します。
  3. [コンピュータの構成]−[管理用テンプレート]−[システム]を開き、[グループ ポリシー]をクリックします。
  4. [フォレスト間ユーザー ポリシーおよび移動ユーザー プロファイルを許可する]をダブル・クリックします。
  5. [未構成]もしくは[無効]であった場合、[有効]をオンにします。次に [OK]をクリックします。
  6. グループ・ポリシー・ツールを終了し、コンピュータがポリシーを自動的に更新するまで待機します。また、以下のコマンドによって、コンピュータ・ポリシーを手動で更新することも可能です。その場合、[スタート]−[ファイル名を指定して実行]をクリックし、「cmd」と入力して、 [OK] をクリックし、以下のコマンドを実行します。
    C:\> secedit /refreshpolicy machine_policy

  7. ログオフします。

 以上の操作により、ログオン時にユーザー・ポリシーが適用されるようになるはずです。

・サポート技術情報 823862:
http://support.microsoft.com/default.aspx?scid=kb;ja;823862

■Windows 2000 SP4をインストールするとScriptMapsエラーが発生する(2003/10/15追記)
 マイクロソフトの「サポート技術情報:824391」により、Microsoft Windows 2000 Service Pack 4(SP4)をインストールすると、「Unable to write ScriptMaps metabase entry」というエラー・メッセージが表示される可能性があることが明らかになりました。このエラーは、Windows 2000 SP4がセキュリティ上の理由により、.htr拡張子を「Ism.dll」から「Asp.dll」にマッピングし直すように変更したことに起因するようです。

 マイクロソフトでは、このエラー・メッセージが表示される根本的な原因を調査中とのことです。Windows 2000 SP4をインストールしたのち、再起動後にInternet Information Services(IIS)のすべてのサービスが正常に開始された場合には、このエラー・メッセージは無視しても問題ありません。しかし.htr拡張子のScriptMapsの一部が、Ism.dllにマップされたままになっている場合には、「Sp4iis.exe」を引数なしで再度実行してください。

・マイクロソフト サポート技術情報 824391([INFO] Windows 2000 SP4をインストールするとScriptMapsエラーが発生する):
http://support.microsoft.com/default.aspx?scid=kb;ja;824391