Outlook 2002のmailto URLの解析処理に脆弱性があり、特別に細工されたmailto URLをクリックすることで、コンピュータのローカル・コンピュータ・ゾーンで任意のコードが実行される危険性があります。

　mailto URLは、Webページやメール上でメールの送信先などを指定するために利用される記述フォーマットです。mailto URLでは、送信先のほか、サブジェクトなどをURL形式で埋め込むことが可能です。例えば、HotFix Reportへの問い合わせ先をWebページ上で記述する場合、「問い合わせ」などに以下のようなリンクを設定します。

　このリンクをクリックすると、サブジェクトに「HotFix Reportに関する問い合わせ」が挿入された状態で電子メール・クライアントが起動します。このmailto URLを解析する処理に脆弱性があるため、ここにスクリプトなどを埋め込むことでOutlook 2002に任意のコードの実行を許してしまう危険性があります。

　なお自動的に起動する電子メール・クライアントは、Internet Explorerの［ツール］−［インターネット オプション］メニュー−［インターネット オプション］ダイアログ−［プログラム］タブの「電子メール」に設定しているものです。Outlook Expressなどを利用していても、Outlookをインストールすると、電子メール・クライアントはOutlookに設定されている可能性があります。そのためOutlook 2002をインストールしている場合、この脆弱性によりシステムが危険な状態となります。

　Outlook 2002 SP3（Outlook 2002にOffice XP SP3を適用した状態）では、すでにこの脆弱性が解消されています。Outlook 2002を利用している場合は、なるべくSP3を適用してください。また何らかの理由により、SP3の適用が行えない場合は、今回提供された修正プログラムの適用作業を至急開始してください。

　Outlook 2002がデフォルトの電子メール・クライアントの場合、この脆弱性により、任意のコードが実行される危険性があります。当初、Outlook 2002の起動時に表示されるフォルダが「Outlook Today」の場合に、脆弱性の危険性がある、とされていましたが、その後すべての場合で任意のコードが実行される危険性があることが分かりました。Outlook 2002がデフォルトの電子メール・クライアントに設定されているかどうかは、Internet Explorerの［インターネット オプション］ダイアログ−［プログラム］タブの「電子メール」を見ることで確認可能です。通常、Outlook 2002をインストールすると、Outlook 2002がデフォルトの電子メール・クライアントとして設定されます。

　mailto URLは、Webページやメールの返信先や問い合わせ先へのリンクとして設定されており、自動的にサブジェクトなどを挿入した状態で電子メール・クライアントを起動させることが可能です。Outlook 2002には、このmailto URLを解析する処理に脆弱性があり、特別に細工されたmailto URLをクリックすると、そこに記述されているスクリプトが実行されます。場合によってはユーザーのコンピュータで任意のコードが実行される危険性があります。

　修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。

■MS02-067とMS03-003の修正は含まれる？
　「TechNetセキュリティ情報：MS04-009」によれば、MS04-009の修正プログラムには過去の修正は含まれてないとされています。しかし、DA Labで調べたところ、MS02-067（電子メール ヘッダー処理の問題により、Outlook 2002 が異常終了する）とMS03-003（Outlook 2002 が Version 1 の Exchange Server Security 証明書を処理する方法に存在する問題により、情報が漏えいする）が含まれていることが分かりました。MS04-009を適用済みのOutlook 2002 SP2に対して、MS02-067とMS03-003の修正プログラムの適用を試みると、「このアップデートは適用されているか、すでに適用されているアップデートに含まれます。」というダイアログ・ボックスが表示され、適用が行えません。 MS02-067とMS03-003の修正プログラムを適用していない場合でも、MS04-009のみを適用してください。

［2004/03/17 追記］ 「サポート技術情報：828040（Outlook 2002セキュリティ アップデート）」によれば、MS02-067の修正が含まれているほか、これまでの不具合についても解消している、とされています。ただしMS03-003の修正プログラムが含まれているかどうかについては触れられていません。

・TechNetセキュリティ情報 MS02-067（電子メール ヘッダー処理の問題により、Outlook 2002 が異常終了する）：
http://www.microsoft.com/japan/technet/security/bulletin/ms02-067.asp

・TechNetセキュリティ情報 MS03-003（Outlook 2002 が Version 1 の Exchange Server Security 証明書を処理する方法に存在する問題により、情報が漏えいする）：
http://www.microsoft.com/japan/technet/security/bulletin/ms03-003.asp

■管理者向け／クライアント向けセットアップの違い
　マイクロソフトが提供してきたほとんどOffice 2000／XP／2003向けの修正プログラムは、管理者セットアップ向け（すべてのファイルが含まれるもの）とクライアント向け（差分ファイルのみ）の2種類があります。前者は「フルファイル・アップデート」とも呼ばれ、通常は管理者用インストール・ポイント（Officeのセットアップを実行するための共有フォルダ）を更新するのに利用しますが、クライアントに直接適用することも可能です。一方、後者はバイナリ・アップデートとも呼ばれ、クライアントを更新する場合のみに利用します。管理者セットアップ向け修正プログラムは、ファイル容量が大きくなるものの、OfficeのインストールCDの確認作業が（ほとんどの場合）不要になるというメリットがあります。逆にクライアント向け修正プログラムは、適用時にインストールCDが必要ですがファイル容量は小さくなっています。

　MS04-009でも、管理者セットアップ向けとクライアント向けの両方が提供されています。手動で修正プログラムをクライアントに適用する場合は、システム構成などに応じてどちらかの修正プログラムを選びます。例えば、異なるバージョンのOfficeが多数混在している環境では、OfficeのインストールCDを必要としない管理者セットアップ向け修正プログラムの方が便利でしょう。それぞれの利点／欠点については、以下のOffice　XPリソースキットのページを参照してください。

・クライアント コンピュータへのフルファイル アップデートの適用：
http://www.microsoft.com/japan/office/ork/journ/fullfile.asp

　ただし、管理者セットアップ向け修正プログラムでは、ダウンロード・センターからダウンロードしたファイル（officexp-kb828040-fullfile-jpn.exe）を実行しても、ファイルが展開されるだけです。展開されたファイル（OUTLOOKff.msp）を実行しないと、修正プログラムの適用が完了しませんのでご注意ください。

　UpdateEXPERTでは、従来どおりクライアント向け修正プログラムを適用します。

■管理者セットアップ向け修正プログラムとインストールCDの必要性
　MS04-009の管理者セットアップ向け修正プログラム「officexp-kb828040-fullfile-jpn.exe」を手動で適用してみたところ、確かにインストールCDは要求されませんでした。しかし、システム環境によっては管理者セットアップ向け修正プログラムでもインストールCDが要求される場合があるようです。詳細は以下のマイクロソフトの「サポート技術情報：836046（インストール CD なしで Office XP をアップデートする方法）」などを参照してください。

・サポート技術情報 836046（インストール CD なしで Office XP をアップデートする方法）：
http://support.microsoft.com/default.aspx?scid=kb;ja;836046

・サポート技術情報 836043（同じバージョンを複数インストールしているとアップデート時にCD-ROMが必要となる）：
http://support.microsoft.com/default.aspx?scid=kb;ja;836043

■管理者セットアップ向け修正プログラムをインストールするには
　管理者セットアップ向け修正プログラムでは、ダウンロード・センターからダウンロードしたファイル（officexp-kb828040-fullfile-jpn.exe）を実行しても、.MSPファイルが展開されるだけです。展開されたファイル（OUTLOOKff.msp）を実行しないと、修正プログラムの適用が完了しませんのでご注意ください。実行するには、展開された.MSPファイルをダブルクリックするだけです。

■修正プログラムの適用にはWindows Installer 2.0やOffice XP SP1／SP2のインストールが必要
　MS04-009の修正プログラムを適用するには、事前にWindows Installer 2.0をインストールしてください（Windows 2000 SP3／SP4とWindows XPにはWindows Installer 2.0が同梱されています）。また、クライアント向け修正プログラムについては、Office XP SP2を事前に適用しておく必要があります。管理者セットアップ向け修正プログラムについては、Office XP SP1またはSP2を事前に適用しておく必要があります。

・Windows 95／98／98 SE／Me用Windows Installer 2.0：
http://office.microsoft.com/home/office.aspx?assetid=FX01041741&displaylang=JA

・Windows NT 4.0／2000用Windows Installer 2.0：
http://office.microsoft.com/home/office.aspx?assetid=FX01041742&displaylang=JA

　以下の方法でOutlook 2002のファイル・バージョンを確認します。

1. %ProgramFiles%\Microsoft Office\Office\OUTLOOK.EXEを右クリックし、［プロパティ］メニューを選択します。
2. ［プロパティ］ダイアログの［バージョン情報］タブをクリックします。
3. 「ファイル バージョン:」が「10.0.5709.0」以上であることを確認します。

　手動で修正プログラムをインストールする場合は、以下のURLでダウロードを実行してください。

・Office XP SP2／Outlook 2002 SP2（クライアント向け）：
http://www.microsoft.com/downloads/details.aspx?FamilyID=52f1a951-24db-44a5-9475-ea5d302bca6a&DisplayLang=ja

・Office XP SP2／Outlook 2002 SP2（管理者セットアップ向け）：
http://download.microsoft.com/download/0/8/3/083a24d8-3de1-4547-b342-727d81f01992/officexp-kb828040-fullfile-jpn.exe

　また、Office UpdateからMS04-009の修正プログラムを適用することもできます。

　［展開ビュー］−［Outlook］タブに「名前：officexp-kb828040-client-jpn.exe」で登録予定