|
深刻度
|
| → |
1(緊急) |
|
2(重要) |
| |
3(警告) |
| |
4(注意) |
|
|
対策
|
|
至急適用
|
|
再起動の必要性
|
|
あり
|
|
アンインストール
|
|
可
|
|
対象環境
|
|
|
|
セキュリティ情報
|
|
|
|
サポート技術情報
|
|
|
|
よく寄せられる質問
|
|
|
|
含まれる過去の修正
|
|
|
|
脆弱性識別番号
|
|
|
|
更新履歴
|
| 2004/02/04 セキュリティ情報ページを公開 |
|
| MS04-004/832894 |
|
クロスドメイン・セキュリティ・モデルに関連する脆弱性により、攻撃者の任意のコード実行を許容する危険性などを含む、Internet
Explorer用の累積的な修正
|
| (Internet Explorer 用の累積的なセキュリティ修正プログラム) |
| |
|
| 対応策: 修正プログラムの適用作業を至急、開始してください。 |
|
| 概要 |
|
マイクロソフトは、Internet Explorer(IE)に新たに3つの脆弱性が確認されたことを発表しました。これらの脆弱性が悪用されることにより、攻撃者によって任意の実行ファイルが実行されたり、ユーザーの意図しないファイルがコンピュータ上に保存されたりします。また、現在訪問している実際のWebサイトとは異なるURLをアドレス・バーに表示させることで、偽装サイトを悪用した個人情報窃取の危険性があります。
IE向けに提供された前回の累積的な修正プログラムである「TechNetセキュリティ:MS03-048(Internet Explorer用の累積的なセキュリティ更新)」では、適用によって3つの不具合が発生することが明らかになっています。これらの不具合のうち、2つ(「ショートカット・メニューの動作が不正になる不具合」「IEの画面スクロールが正しく行われなくなる不具合」)はMS04-004で解消されていることを確認しました。残りの1つの不具合については、MS04-004の修正プログラムでも引き続き問題が発生します(詳細については、以下の「DA
Lab:HotFixテスティング・チームからのコメント」を参照)。ただ、これらの不具合は、実用上それほど致命的なものではありません。今回解消される脆弱性の中には、すでに攻撃に悪用が可能な実証コード(エクスプロイト・コード)が公開されているものも含まれています。脆弱性を悪用したワームやウイルスなどによる攻撃の可能性がありますので、至急、検証を開始し、適用作業を行ってください。
[お詫びと訂正]HotFix Alert速報版において、再起動の必要性を「なし」としておりましたが、「あり」の誤りでした。お詫びして訂正させていただきます。ただしコンピュータを再起動しても、管理者権限で再ログオンする必要はありません。
|
|
| 対象プラットフォーム |
修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
| 影響を受けるソフトウェア |
対象プラットフォーム |
| Internet Explorer 5.01 SP2 |
Windows 2000 SP2+IE 5.01 SP2 |
| Internet Explorer 5.01 SP3 |
Windows 2000 SP3+IE 5.01 SP3 |
| Internet Explorer 5.01 SP4 |
Windows 2000 SP4+IE 5.01 SP4 |
| Internet Explorer 5.5 |
Windows 98/98 SE/Me+IE 5.5 SP2 |
| Internet Explorer 6 |
Windows XP SP未適用+IE 6 |
| Internet Explorer 6 SP1 |
Windows 98/98 SE/Me/NT 4.0 SP6a/2000 SP2/2000 SP3/2000 SP4/XP
SP未適用/XP SP1/XP SP1a+IE 6 SP1 |
| Internet Explorer 6 for Windows
Server 2003 |
Windows Server 2003+IE 6 |
(注意)Windows 98/98 SE/Me/Windows
Server 2003は、UpdateEXPERTのサポート対象外です。 |
|
| 詳細情報 |
|
今回、修正プログラムでは以下の脆弱性などが解消されます。
・IEのクロスドメイン・セキュリティ・モデルに関連する脆弱性(最大深刻度=1:緊急)
IEのクロスドメイン・セキュリティ・モデル(別ドメインのウィンドウが情報を共有しないようにする機能)の脆弱性は、既出の修正プログラム「TechNetセキュリティ情報:MS03-032(Internet
Explorerがオブジェクトの種類を適切に確認できないため任意のプログラムが実行できる可能性などを含む、Internet Explorerの累積的な修正)」「TechNetセキュリティ情報:MS03-048(クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet
Explorer用の累積的な修正)」において修正されています。しかし今回、これらとは異なるクロスドメイン・セキュリティ・モデル関連の新たな脆弱性が確認されています。
今回解消されるIEのクロスドメイン・セキュリティ・モデルに関連する脆弱性は、Travel Logに起因するもので、スクリプトURLを検証するために使用されるプロセスが原因で起こります。Travel
Logとは、Webブラウザの制御について、ナビゲーション・スタックを保持するインターフェイスです。このスタックは、最近訪問したWebサイトの一覧を保持するために使用されます。この脆弱性を悪用することにより、攻撃者によって任意の実行ファイルが実行される可能性があります。
・IEのDHTML(ダイナミックHTML)イベント中で関数ポインタを使用したドラッグ&ドロップ操作の実行に関連する脆弱性(最大深刻度=2:重要)
ドラッグ&ドロップ操作において、特定のDHTMLイベントを検証する処理の過程に脆弱性があるため、特別に細工されたリンクをユーザーがクリックすると、意図しないファイルがユーザーのコンピュータに保存される危険性があります。この際、ユーザーにダウンロードを承認するよう要求するダイアログボックスは表示されません。直接、ファイルが実行されることはありませんが、デスクトップ上に保存するなど、ユーザーの錯誤によって実行されるように仕掛けられる危険性があります。また、別の脆弱性と組み合わせて、保存されたファイルが実行される懸念もあります。
・ベーシック認証の「username:password@」を含むURLの解析に関する脆弱性(最大深刻度=2:重要)
ベーシック認証のユーザー名とパスワードを埋め込んだURLの解析処理に脆弱性があるため、現在訪問しているWebサイトとは異なるURLがアドレス・バーに表示される危険性があります。この脆弱性を悪用することで、例えば実際にはwww.hotfix.jpに接続させていながら、IEのアドレス・バーにはwww.d-advantage.comと表示させることが可能です。これを悪用する例として、有名なWebサイトを装った偽のサイトにユーザーを誘導した上で、個人情報などを入力させて情報を取得することなどが考えられます。特にショッピング・サイトなどに偽装されている場合、個人情報とクレジット・カード情報などが奪われる危険性があります。
MS04-004の修正プログラムの適用により、URLの解析方法が変更され、ベーシック認証の「username:password@」を含むURLでは、そのWebページへ接続できなくなります。従ってこの方法でWebページへのアクセスをユーザーに行わせているサイトでは、アクセス方法の設計変更が必要になります。Webサイトの管理者は、この点についてもご注意ください。
■修正プログラム適用後の注意
MS03-048などのIEの累積的な修正プログラムと同様、マイクロソフトの「サポート技術情報:811630」から最新のHTMLヘルプ・コントロールのインストールが必要となります。最新のHTMLヘルプ・コントロールがインストールされていない場合、MS04-004の修正プログラムを適用することで、HTMLヘルプ機能が使用できなくなりますのでご注意ください。
・マイクロソフト サポート技術情報 811630(window.showHelp() メソッドで呼び出されたときの機能を制限するためのHTMLヘルプの更新):
http://support.microsoft.com/default.aspx?scid=kb;ja;811630
■Windows Media Playerの修正プログラムのインストールを推奨
以前の累積的な修正プログラムであるMS03-040/MS03-048では、「サポート技術情報:828026」のWindows Media Playerの修正プログラムも合わせて適用することが推奨されていました。DA
Labで検査したところ、今回のMS04-004についても、このMedia Playerの修正プログラムを追加適用する必要性は変わりませんでした。しかし、その後この修正プログラムに一部のURLスクリプト・コマンドが機能しないという不具合が見つかったため、改訂版の修正プログラムがリリースされています。改訂版の修正プログラムについては、「サポート技術情報:832353(「サポート技術情報」の資料828026に記載されているWindows
Media Playerの更新を適用後、一部のURLスクリプト コマンドが機能しない)」を参照してください。
なお、この修正プログラムについても、内蔵するインストーラのUpdate.exeが不具合を発生させるバージョンであるなど、問題が見つかっています。詳細については、「HotFix
Weekly:2004/01/28日版(「サポート技術情報:828026」の修正プログラム適用後、Windows Media Playerの一部のURLスクリプト・コマンドが機能しなくなる不具合)」を参照ください。
「サポート技術情報:832353」の修正プログラムを適用していない場合は、今回のMS04-004の修正プログラムと合わせて、適用を行ってください。
・サポート技術情報 832353(「サポート技術情報」の資料828026に記載されているWindows Media Playerの更新を適用後、一部のURLスクリプト
コマンドが機能しない):
http://support.microsoft.com/default.aspx?scid=kb;ja;832353
・HotFix Weekly 2004/01/28日版(「サポート技術情報:828026」の修正プログラム適用後、Windows Media Playerの一部のURLスクリプト・コマンドが機能しなくなる不具合):
http://www.hotfix.jp/archives/alert/2004/news04-0128.html#01
|
|
| DA Lab:HotFixテスティング・チームからのコメント |
|
修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。
■MS04-004の修正プログラム適用で生じる不具合について
マイクロソフトのトラブル・メンテナンス速報によると、IE 6 SP1にMS04-004の修正プログラムを適用すると、IEに記憶させておいたベーシック認証のユーザー名とパスワードが、認証のダイアログ・ボックスに表示されなくなるという不具合が生じる、とのことです(Cookieで記録している場合は影響を受けません)。
・トラブル・メンテナンス速報:
http://support.microsoft.com/default.aspx?scid=/isapi/gomscom.asp?
target=/japan/support/sokuho/
DA LabでUpdateEXPERTが管理対象とするすべての適用対象プラットフォームを調べたところ、IE 6 SP1以外でも、Windows 2000
SP2+IE 5.01 SP2においてこの不具合が発生することを確認しました(ただし修正プログラムの適用など、条件次第で現象が発生する可能性は否定できません)。また、Windows
2000 SP3+IE 5.5 SP2においては、不具合は発生しないようです。
| IE |
OS |
不具合の有無 |
| IE 5.01 SP2 |
Windows 2000 SP2 |
あり |
| IE 5.01 SP3 |
Windows 2000 SP3 |
なし |
| IE 5.01 SP4 |
Windows 2000 SP4 |
なし |
| IE 6 |
Windows XP SP未適用 |
なし |
| IE 6 SP1 |
Windows NT 4.0 SP6a |
あり |
| IE 6 SP1 |
Windows 2000 SP2 |
あり |
| IE 6 SP1 |
Windows 2000 SP3 |
あり |
| IE 6 SP1 |
Windows 2000 SP4 |
あり |
| IE 6 SP1 |
Windows XP SP未適用 |
あり |
| IE 6 SP1 |
Windows XP SP1 |
あり |
| IE 6 SP1 |
Windows XP SP1a |
あり |
ただしMS04-004の適用後でも、ユーザー・アカウントとパスワードの情報自体はシステムに保存されており、表示ができなくなっているだけのようです。実際、トラブル・メンテナンス速報(2月3日時点)では以下のような回避策を紹介しています。
すべてのIEをいったん閉じます。
- 再びIEを起動します。この際、開くページは何でもかまいません。
- 別にIEを起動します。
- 2番目に起動したIEで、ベーシック認証が施されたページに接続します。
- IEに記憶させていたユーザー名とパスワードが入力された状態のダイアログ・ボックスが表示されます。
DA Labにおいても、この方法でユーザー名とパスワードが取り出せることを確認しました。また、MS04-004の修正プログラム適用後に、新たに記憶させたユーザー名とパスワードはこの不具合の影響を受けません。
■MS03-048の修正プログラム適用で生じる不具合の解消について
MS03-048の修正プログラムは、適用後にいくつかの不具合が発生することが明らかになっています。それらの不具合がMS04-004で解消されているのか確認してみました。
・MS03-048を適用するとショートカット・メニューの動作が不正になる不具合 − ○
これはIE 6 SP1において、スクロール・バー上で右クリックした際に表示されるショートカット・メニューが、メニュー内の項目を選択しても表示されたままになるというものです。さらに、その表示されたままの状態となったショートカット・メニュー内の項目を選択すると、IEのボディ部分を右クリックした際に表示されるショートカット・メニューが表示されます。
この不具合はMS04-004の修正プログラムで解消されていることを確認しました。
・MS03-048を適用するとIEの画面スクロールが正しく行われなくなる不具合 − ○
これはIEのスクロール・バーの空白部分をクリックすると、本来は1ページ分のスクロールが行われるはずが2ページ分スクロールする、画面の一部を選択してスクロールすると選択範囲が解除される、というものです。
この不具合はMS04-004の修正プログラムで解消されていることを確認しました。
・Windows 2000にMS03-048を適用するとエクスプローラの「関連項目」のリンクが機能しなくなる不具合 − ×
Windows 2000において、エクスプローラの[フォルダ オプション]で[Webの表示]を[フォルダでWebコンテンツを使う]にしていた場合、エクスプローラやマイ
コンピュータの左側に[関連項目]のリンク([デスクトップ][マイ ドキュメント][マイ コンピュータ]など)が表示されます。MS03-048の修正プログラムを適用すると、このリンクが機能しなくなりました(クリックしてもリンク先へのジャンプしません)。
残念ながらMS04-004の修正プログラムを適用しても、この不具合は解消されません。
■IE 5.5 SP2はWindows Meのみ対応
IE 5.5 SP2は、2003年12月31日で延長サポート期間が終了しました。そのため「TechNetセキュリティ情報:MS04-004」によれば、Windows
Meを除くプラットフォームは修正プログラムの対象外となっています。Windows Meについては、2004年1月15日に発表されたWindows 98/98SE/Meの延長サポート期間が2006年6月30日まで再延長されたのにともない、IE
5.5 SP2のサポートが継続されているものと思われます(IE 5.5がWindows Meの標準コンポーネントであるため)。また同様にWindows 98/98
SEはIE 6 SP1もサポート対象外となっています。延長サポート期間が2006年6月30日まで再延長されたものの、Windows 98/98 SEについては、サポート対象となるIEがなくなったことになります。なおWindows
NT 4.0 SP6a/2000 SP2/2000 SP3については、まずIE 6 SP1へアップデートした後、MS04-004の修正プログラムを適用することが推奨されています。
ところが、Windows Updateサイトでは、Windows 2000 SP2/SP3/SP4+IE 5.5 SP2に対して、IE 5.5 SP2向けのMS04-004の修正プログラムが適用可能となっています。実際にDA
LabでWindows 2000 SP2/SP3/SP4に対して、Windows UpdateからMS04-004の修正プログラムを問題なく適用できました。サポートと対象となるのかあいまいなWindows
NT 4.0 SP6a/2000 SP2/2000 SP3+IE 5.5 SP2については、十分な検証を行った上で適用をご検討ください。
■MS04-004の修正プログラムで解消される不具合について
MS04-004の修正プログラムに含まれるファイルのバージョンとレジストリの更新状況を調べたところ、以下のサポート技術情報で報告されている不具合を解消も含まれていることが分かりました。MS04-004の適用後は、これらの不具合に対する修正プログラムの適用やレジストリの設定は不要です。
・サポート技術情報 818506(多数のオブジェクトを要求すると、Internet Explorerの応答が停止する):
http://support.microsoft.com/default.aspx?scid=kb;ja;818506
・サポート技術情報 818060(接続でローカル エリア ネットワークの自動設定やプロキシ設定 が使用されない):
http://support.microsoft.com/default.aspx?scid=kb;ja;818060
・サポート技術情報 810635(リモート アクセス接続が複数あるとWindows Media Playerがストリーム メディアを再生できない):
http://support.microsoft.com/default.aspx?scid=kb;ja;810635
・サポート技術情報 331906(Internet Explorer 6からプロキシ経由でインターネットへの通信に失敗する):
http://support.microsoft.com/default.aspx?scid=kb;ja;331906
■killbitの設定について
MS04-004は、MS03-040/MS03-048と同様、killbit(HTMLレンダリング・エンジンにより、ActiveXコントロールが読み込まれないようにするInternet
Explorerのセキュリティ機能)を設定します。設定されるkillbitについては、「HotFix Alert:MS03-048(クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet
Explorer用の累積的な修正)」を参照してください。
・HotFix Alert MS03-048(クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet
Explorer用の累積的な修正):
http://www.hotfix.jp/archives/alert/2003/ms03-048.html
|
|
| 追加情報(2004/02/11) |
| ユーザー資格情報が埋め込まれたURLの指定でXMLHTTPの呼び出しがエラーになる不具合 |
| 情報ソース |
マイクロソフト |
| 情報の内容 |
XMLHTTPの呼び出しエラー |
| 条件 |
ユーザー資格情報の埋め込まれたURLの指定 |
| 報告日 |
2004年2月5日 |
|
|
マイクロソフトは、「TechNetセキュリティ情報:MS04-004(Internet Explorer 用の累積的なセキュリティ修正プログラム)」の修正プログラムを適用すると、ユーザー資格情報(ユーザー名とパスワード)を埋め込んだURLを指定したXMLHTTPの呼び出しがエラーになる不具合を明らかにしました。
XMLHTTPは、Microsoft XML(MSXML:XMLパーサ)のコンポーネントの一部です。MSXMLは、Windows XPのほか、Internet
Explorer 6やSQL Server 2000、MDACなどにも標準機能として装備されています。また、サードパーティ製のアプリケーションでも、MSXMLをインストールするものがあるようです。MSXMLがインストールされている場合は、%SystemRoot%\System32フォルダの下に「MSXML.dll(MSXML
1.0〜2.5の場合)」「MSXML2.dll(MSXML 2.6の場合)」「MSXML3.dll(MSXML 3.0の場合)」「MSXML4.dll(MSXML
4.0の場合)」のいずれかのファイルが存在しますので、ご確認ください。MSXMLは、バージョンごとに異なる.DLLファイルでインストールされるため、1つのWindowsに複数のバージョンのMSXMLがインストールされている場合もあります。
ネットワーク接続を伴うアプリケーションにおいて、MS04-004の修正プログラム適用後に、ネットワークへの接続が行えなくなったなどの症状が発生している場合は、XMLHTTPの不具合が原因になっている可能性があります。MSXML
3.0 SP2/SP3/SP4の各バージョンに対応した、この不具合を解消する修正プログラムがすでに公開されています。これらのバージョンを利用している場合は、修正プログラムの適用をご検討ください。そのほかのバージョンのMSXMLについては、現在のところ修正プログラムが提供されていません。提供が開始された時点で、改めてお知らせします。
|
不具合の対象:
Microsoft XML 2.5
Microsoft XML 2.6
Microsoft XML 3.0
Microsoft XML 4.0 |
|
詳細:
XMLHTTPは、HTTPを利用してXML文書をプログラムに渡すために利用されるコンポーネントです。XMLHTTPを使用するプログラムの例として、XMLHTTPを使用し、メール・サーバから電子メールを取得するOutlook
Web Access(OWA)クライアントなどがあります。
MS04-004の修正プログラムを適用すると、ユーザー資格情報を含んだURLが利用できなくなるため、以下のようなXMLHTTPの呼び出し時にエラーが発生します(一部のウイルス対策ソフトウェアが誤認識するため、以下のサンプルでは半角「@」を全角「@」で示しています)。
Xmlhttp.open("GET", "http://username:mypass@www.hotfix.jp/defult.asp",
false, false, "", ""); |
Xmlhttp.open("GET", "http://username:mypass@www.hotfix.jp/defult.asp",
false, "username", "password"); |
Xmlhttp.open("GET", "http://www.hotfix.jp/defult.asp",
false, "username", "mypass"); |
このようなユーザー資格情報を含んだ書式でXMLHTTPの呼び出しを行うことで、ユーザー認証ダイアログを表示させずに、ベーシック認証(基本認証)の施されたWebページに接続できます。ところが、MS04-004の修正プログラムにおいて、このようなユーザー資格情報を埋め込んだURLに対する接続をブロックするように仕様が変更されました。その結果、XMLHTTPにおいても、同様にユーザー資格情報を含むURLによる接続が行えなくなりました。MSXML
3.0 SP2/SP3/SP4向けに、この不具合を解消する修正プログラムがダウンロード・センターから入手可能です。これらのバージョンを利用している場合は、修正プログラムの適用をご検討ください。
・ダウンロード・センター(XML 3.0 Service Pack 2):
http://www.microsoft.com/downloads/details.aspx?FamilyID=4a4c0160-2872-48f0-867a-b64f87703e91&DisplayLang=ja
・ダウンロード・センター(XML 3.0 Service Pack 3):
http://www.microsoft.com/downloads/details.aspx?FamilyID=4953d13c-68b7-4cd5-8993-220455b92c0c&DisplayLang=ja
・ダウンロード・センター(XML 3.0 Service Pack 4):
http://www.microsoft.com/downloads/details.aspx?FamilyID=0031ba5d-7b07-4872-b7a7-6bbd384ba8e9&DisplayLang=ja
MSXML 3.0 SP2/SP3/SP4がインストールされているかどうかは、%SystemRoot%\System32\MSXML3.dllのファイル・バージョンで確認できます。
| MSXMLのバージョン |
ファイル・バージョン |
| MSXML 3.0 SP2 |
8.20.8730.1以上 |
| MSXML 3.0 SP3 |
8.30.9926.0以上 |
| MSXML 3.0 SP4 |
8.40.9419.0以上 |
|
|
|
| 適用されるファイル情報 |
以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
・Internet Explorer 5.01 SP2:
| ファイル名 |
日付 |
バージョン |
サイズ |
| q832894.exe |
2004/01/09 |
5.50.4925.2200 |
2,241,544
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開フォルダ |
%SystemRoot%\system32 |
| BROWSEUI.DLL |
2004/01/08 |
5.0.3525.2300 |
792,848
|
Shell Browser UI Library |
| MSHTML.DLL |
2004/01/08 |
5.0.3526.800 |
2,283,792
|
Microsoft HTML Viewer |
| PNGFILT.DLL |
2003/08/19 |
5.0.3521.1800 |
48,912
|
IE PNG plugin image decoder |
| SHDOCVW.DLL |
2004/01/08 |
5.0.3526.800 |
1,100,048
|
Shell Doc Object and Control Library |
| SHLWAPI.DLL |
2004/01/08 |
5.0.3521.1800 |
279,824
|
Shell Light-weight Utility Library |
| URL.DLL |
2004/01/08 |
5.50.4915.500 |
84,240
|
Internet Shortcut Shell Extension DLL |
| URLMON.DLL |
2004/01/08 |
5.0.3525.2300 |
409,360
|
OLE32 Extensions for Win32 |
| WININET.DLL |
2004/01/08 |
5.0.3526.800 |
447,248
|
Internet Extensions for Win32 |
*ファイル名の背景がさくら色のファイルが、MS04-004で更新されるものです(それ以外は、MS03-048と同一バージョンのファイルです)。SHLWAPI.DLLとURL.DLLは日付のみ更新されています。
・Internet Explorer 5.01 SP3:
| ファイル名 |
日付 |
バージョン |
サイズ |
| Q832894.exe |
2004/01/09 |
5.50.4925.2200 |
2,241,544
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開フォルダ |
%SystemRoot%\system32 |
| BROWSEUI.DLL |
2004/01/08 |
5.0.3525.2300 |
792,848
|
Shell Browser UI Library |
| MSHTML.DLL |
2004/01/08 |
5.0.3526.800 |
2,283,792
|
Microsoft HTML Viewer |
| PNGFILT.DLL |
2003/08/19 |
5.0.3521.1800 |
48,912
|
IE PNG plugin image decoder |
| SHDOCVW.DLL |
2004/01/08 |
5.0.3526.800 |
1,100,048
|
Shell Doc Object and Control Library |
| SHLWAPI.DLL |
2004/01/08 |
5.0.3521.1800 |
279,824
|
Shell Light-weight Utility Library |
| URL.DLL |
2004/01/08 |
5.50.4915.500 |
84,240
|
Internet Shortcut Shell Extension DLL |
| URLMON.DLL |
2004/01/08 |
5.0.3525.2300 |
409,360
|
OLE32 Extensions for Win32 |
| WININET.DLL |
2004/01/08 |
5.0.3526.800 |
447,248
|
Internet Extensions for Win32 |
*ファイル名の背景がさくら色のファイルが、MS04-004で更新されるものです(それ以外は、MS03-048と同一バージョンのファイルです)。SHLWAPI.DLLとURL.DLLは日付のみ更新されています。
・Internet Explorer 5.01 SP4:
| ファイル名 |
日付 |
バージョン |
サイズ |
| Q832894.exe |
2004/01/10 |
5.50.4925.2200 |
2,242,056
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開フォルダ |
%SystemRoot%\system32 |
| BROWSEUI.DLL |
2004/01/08 |
5.0.3812.2300 |
792,848
|
Shell Browser UI Library |
| MSHTML.DLL |
2004/01/08 |
5.0.3813.800 |
2,283,792
|
Microsoft HTML Viewer |
| PNGFILT.DLL |
2003/06/12 |
5.0.3806.1200 |
48,912
|
IE PNG plugin image decoder |
| SHDOCVW.DLL |
2004/01/08 |
5.0.3813.800 |
1,100,048
|
Shell Doc Object and Control Library |
| SHLWAPI.DLL |
2004/01/08 |
5.0.3806.1200 |
279,824
|
Shell Light-weight Utility Library |
| URL.DLL |
2004/01/08 |
5.50.4915.500 |
84,240
|
Internet Shortcut Shell Extension DLL |
| URLMON.DLL |
2004/01/08 |
5.0.3812.2300 |
409,360
|
OLE32 Extensions for Win32 |
| WININET.DLL |
2004/01/08 |
5.0.3813.800 |
447,248
|
Internet Extensions for Win32 |
*ファイル名の背景がさくら色のファイルが、MS04-004で更新されるものです(それ以外は、MS03-048と同一バージョンのファイルです)。SHLWAPI.DLLとURL.DLLは日付のみ更新されています。
・Internet Explorer 5.5 SP2:
| ファイル名 |
日付 |
バージョン |
サイズ |
| Q832894.exe |
2004/01/09 |
5.50.4925.2200 |
2,677,272
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開フォルダ |
%SystemRoot%\system32 |
| BROWSEUI.DLL |
2004/01/08 |
5.50.4936.2300 |
815,376
|
Shell Browser UI Library |
| MSHTML.DLL |
2004/01/08 |
5.50.4937.800 |
2,760,464
|
Microsoft HTML Viewer |
| PNGFILT.DLL |
2003/10/16 |
5.50.4922.900 |
48,912
|
IE PNG plugin image decoder |
| SHDOCVW.DLL |
2004/01/08 |
5.50.4937.800 |
1,149,712
|
Shell Doc Object and Control Library |
| SHLWAPI.DLL |
2004/01/08 |
5.50.4930.1200 |
300,816
|
Shell Light-weight Utility Library |
| URL.DLL |
2004/01/08 |
5.50.4915.500 |
84,240
|
Internet Shortcut Shell Extension DLL |
| URLMON.DLL |
2004/01/08 |
5.50.4936.2300 |
451,856
|
OLE32 Extensions for Win32 |
| WININET.DLL |
2004/01/08 |
5.50.4937.800 |
483,600
|
Internet Extensions for Win32 |
*ファイル名の背景がさくら色のファイルが、MS04-004で更新されるものです(それ以外は、MS03-048と同一バージョンのファイルです)。SHLWAPI.DLLとURL.DLLは日付のみ更新されています。
・ Internet Explorer 6:
| ファイル名 |
日付 |
バージョン |
サイズ |
| Q832894.exe |
2004/01/17 |
6.0.2800.1168 |
3,081,464
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開フォルダ |
%SystemRoot%\system32 |
| BROWSEUI.DLL |
2004/01/16 |
6.0.2737.1600 |
1,024,512
|
Shell Browser UI Library |
| MSHTML.DLL |
2004/01/16 |
6.0.2737.800 |
2,764,288
|
Microsoft HTML Viewer |
| PNGFILT.DLL |
2003/08/15 |
6.0.2722.900 |
34,304
|
IE PNG plugin image decoder |
| SHDOCLC.DLL |
2004/01/16 |
6.0.2715.400 |
548,864
|
Shell Doc Object and Control Library |
| SHDOCVW.DLL |
2004/01/16 |
6.0.2737.800 |
1,337,344
|
Shell Doc Object and Control Library |
| SHLWAPI.DLL |
2004/01/16 |
6.0.2730.1200 |
391,168
|
Shell Light-weight Utility Library |
| URL.DLL |
2004/01/16 |
6.0.2715.400 |
109,568
|
Internet Shortcut Shell Extension DLL |
| URLMON.DLL |
2004/01/16 |
6.0.2736.2300 |
481,792
|
OLE32 Extensions for Win32 |
| WININET.DLL |
2004/01/16 |
6.0.2737.800 |
585,216
|
Internet Extensions for Win32 |
*ファイル名の背景がさくら色のファイルが、MS04-004で更新されるものです(それ以外は、MS03-048と同一バージョンのファイルです)。SHDOCLC.DLLとSHLWAPI.DLL、URL.DLLは日付のみ更新されています。
・ Internet Explorer 6 SP1:
| ファイル名 |
日付 |
バージョン |
サイズ |
| Q832894.exe |
2004/01/22 |
6.0.2800.1168 |
2,904,320
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開フォルダ |
%SystemRoot%\system32 |
| BROWSEUI.DLL |
2004/01/21 |
6.0.2800.1400 |
1,026,04
|
Shell Browser UI Library |
| MSHTML.DLL |
2004/01/21 |
6.0.2800.1400 |
2,795,520
|
Microsoft HTML Viewer |
| SHDOCVW.DLL |
2004/01/21 |
6.0.2800.1400 |
1,339,904
|
Shell Doc Object and Control Library |
| SHLWAPI.DLL |
2004/01/21 |
6.0.2800.1400 |
395,264
|
Shell Light-weight Utility Library |
| URLMON.DLL |
2004/01/21 |
6.0.2800.1400 |
484,352
|
OLE32 Extensions for Win32 |
| WININET.DLL |
2004/01/21 |
6.0.2800.1400 |
588,288
|
Internet Extensions for Win32 |
・ Internet Explorer 6 for Windows Server 2003:
| ファイル名 |
日付 |
バージョン |
サイズ |
| WindowsServer2003-KB832894-x86-JPN.EXE |
2004/01/16 |
5.4.1.0 |
3,013,360
|
*WindowsServer2003-KB832894-x86-JPN.EXEは、-xオプションで解凍可能です。
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開フォルダ |
%SystemRoot%\system32 |
| browseui.dll |
2004/01/16 |
6.0.3790.115 |
1,057,792
|
Shell Browser UI Library |
| mshtml.dll |
2004/01/16 |
6.0.3790.118 |
2,918,912
|
Microsoft HTML Viewer |
| shdocvw.dll |
2004/01/16 |
6.0.3790.118 |
1,394,176
|
Shell Doc Object and Control Library |
| urlmon.dll |
2004/01/16 |
6.0.3790.115 |
504,320
|
OLE32 Extensions for Win32 |
| wininet.dll |
2004/01/16 |
6.0.3790.118 |
614,912
|
Internet Extensions for Win32 |
|
|
| 確認方法 |
|
Internet Explorerを起動し、[ヘルプ]−[バージョン情報]をクリック します。表示されたダイアログ・ボックスの[更新バージョン]フィールドに
Q832894が表示されていることを確認して下さい。
または以下のレジストリ・キーを確認してください。
・Windows Server 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB832894キーの「Installed」という値がDWORD値「1」であること
・そのほかのバージョン:
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{eddbec60-89cb-44ef-8291-0850fd28ff6a}
キーの「IsInstalled」という値がDWORD値「1」であること
|
|
| 修正プログラム |
|
手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。
・Internet Explorer 5.01 SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=17904608-DCEE-4C99-A780-81D6DBC48DD5&displaylang=ja
・Internet Explorer 5.01 SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=202D3AAC-6B56-4F4A-8C0F-4183C77B6B51&displaylang=ja
・Internet Explorer 5.01 SP4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F5E74139-6E0E-49FD-9AA2-36D2D8454A92&displaylang=ja
・Internet Explorer 5.5 SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=EFFE87F6-7ACA-4A54-B767-5597DDE95C6F&displaylang=ja
・ Internet Explorer 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=BE0C18BC-7F9A-4196-BFDE-29EBA8CF7A50&displaylang=ja
・Internet Explorer 6 SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=70530968-B59A-47C0-90D3-0C884910BC97&displaylang=ja
・ Internet Explorer 6 for Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=D78AE4F7-8852-4A04-B8F6-1DE327E598F0&displaylang=ja
また、MS04-004の全修正プログラムはWindows
Updateからも適用可能です。
|
|
| 参考情報 |
|
何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。
・インターネット/イントラネット・ゾーンでActiveXコントロールを実行する前にダイアログを表示する設定に変更する
IEの[インターネット オプション]−[セキュリティ]の設定を変更し、ActiveXコントロールが実行される前にダイアログが表示されるようにします。これにより、ユーザーの意図しないActiveXコントロールがインストールされることを防ぎ、攻撃を回避することができます。設定方法は以下の手順に従ってください。
- IEの[ツール]−[インターネット オプション]メニューを選択します。
- [セキュリティ]タブを選択します。
- [インターネット]ゾーンのアイコンをクリックし、[レベルのカスタマイズ]ボタンをクリックします。
- 設定]の下から[ActiveX コントロールとプラグイン]を見つけ、[ActiveX コントロールとプラグインの実行]を[ダイアログを表示する]に変更します。同様に、[スクリプト]の[アクティブ
スクリプト]も[ダイアログを表示する]に変更します。
- [イントラネット]ゾーンに対しても、同じ設定を行います。
ただしこの設定変更によって、アクセスするWebサイトによっては頻繁にダイアログによる確認表示が行われるようになります。
|
|
| UpdateEXPERTによる予想適用時間 |
| 修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
q832894.exe
(Internet Explorer 5.01 SP2) |
19分 |
27分 |
53分 |
1時間36分 |
Q832894.exe
(Internet Explorer 5.01 SP3) |
19分 |
27分 |
53分 |
1時間36分 |
Q832894.exe
(Internet Explorer 5.01 SP4) |
19分 |
27分 |
53分 |
1時間36分 |
Q832894.exe
(Internet Explorer 6) |
19分 |
27分 |
54分 |
1時間37分 |
Q832894.exe
(Internet Explorer 6 SP1) |
19分 |
27分 |
54分 |
1時間37分 |
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
|
|
| UpdateEXPERT上の表示 |
|
[展開ビュー]−[IE]タブに「名前: Q832894.exe」で登録
|
| |
|
