■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows NT Server 4.0 SP6a+IE 6.0 SP1 |
○
|
Windows NT Server 4.0, Enterprise Edition SP6a+IE 6.0 SP1 |
○
|
Windows 2000 Professional SP3+IE 6.0 SP1 |
○
|
Windows 2000 Professional SP4+IE 6.0 SP1 |
○
|
Windows 2000 Server SP3+IE 6.0 SP1 |
○
|
Windows 2000 Advanced Server SP4+IE 6.0 SP1 |
○
|
Windows XP Professional SP1 |
○
|
Windows XP Professional SP1a |
○
|
■URL偽装などの脆弱性は未解消
DA Labで確認したところ、URLの偽装を可能にする脆弱性や、スタック・オーバーフローを発生して異常終了する脆弱性など、ここ1カ月で明らかになった脆弱性は、MS04-040の修正プログラムでは解消されていないようだ。MS04-040の修正プログラムは、MS04-038の修正に加え、すでにウイルスなどに悪用されているIFRAME/FRAMEタグの脆弱性のみを解消したバージョンと思われる。そのため、改めてURLの偽装なども解消した修正プログラムが近いうちに提供されるだろう。
・HotFix Weekly 2004/11/03日付け(Internet ExplorerでURLの偽装を可能にする脆弱性):
http://www.hotfix.jp/archives/alert/2004/news04-1103.html#02
・HotFix Weekly 2004/11/17日付け(IEのステータス・バーを偽装する手口が次々と公開):
http://www.hotfix.jp/archives/alert/2004/news04-1117.html#01
・HotFix Weekly 2004/12/01日付け(IE 6にも画像が正しい拡張子で保存されない脆弱性):
http://www.hotfix.jp/archives/alert/2004/news04-1201.html#01
・HotFix Weekly 2004/12/01日付け(IEとFirefoxにスタック・オーバーフローを発生させる脆弱性):
http://www.hotfix.jp/archives/alert/2004/news04-1201.html#03
■MS04-040とロールアップ修正プログラムの違い
マイクロソフトは、MS04-040の修正プログラムと同時に、IEのロールアップ修正プログラムの提供を行っている。
MS04-040の修正プログラムは、MS04-038を含む以前のセキュリティ修正とMS04-004より前に提供された不具合修正のみが含まれ、MS04-004以降に提供された不具合修正は含まれていない。MS04-004以降の不具合修正プログラムについては、ほとんどが一般には公開されておらず、マイクロソフト・プロダクト・サポート・サービスに連絡することによって入手可能になっていた。
一方のロールアップ修正プログラムでは、MS04-040のほか、MS04-004以降の不具合修正が含まれている。つまりロールアップ修正プログラムを適用すれば、MS04-040の脆弱性のほか、修正プログラムが提供されている不具合についても解消されることになる。
マイクロソフト・プロダクト・サポート・サービスから提供を受けた修正プログラムを適用している場合、MS04-040の修正プログラムを適用すると、その不具合が再発する可能性がある。そのため、提供を受けている場合は、必ずロールアップ修正プログラムの適用を行う必要がある。また、特別の事情(適用によって互換性問題が発生するなど)がない限り、不具合が修正されていることから、ロールアップ修正プログラムを適用した方がよい。なお、MS04-040を適用した後に、ロールアップ修正プログラムを適用することも可能だ。
・サポート技術情報 889669(An update rollup is available for Internet Explorer 6 SP1):
http://support.microsoft.com/default.aspx?scid=kb;ja;889669
・ダウンロード・センター(Internet Explorer 6 Service Pack 1 用の累積的なセキュリティ更新プログラム (企業向け)
- Windows 98, Windows Millennium, Windows NT (889669)):
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&
FamilyID=171d1ed7-bedd-40c8-b272-e457a2b020e3
・ダウンロード・センター(Internet Explorer 6 Service Pack 1 用の累積的なセキュリティ更新プログラム (企業向け)
- Windows XP, Windows 2000 (889669)):
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&
FamilyID=c74028e2-10c9-4edd-ad0a-36493677bff8
■修正プログラム適用による既知の不具合
MS04-040の修正プログラムを適用すると、MS04-038と同様、Windows 2000 SP4において[コントロールパネル]−[アプリケーションの追加と削除]で、インストールされたアプリケーションのサポート情報を開き、その後に[閉じる]ボタンをクリックしても、サポート情報のウィンドウが閉じないという不具合がある。ウィンドウは、右上の[×]ボタンをクリックすれば閉じることができるため、致命的な障害ではない。この障害は、DA
Labでも確認している。
・サポート技術情報 887754(Close button does not work in the Add or Remove Programs Support
Info dialog box):
http://support.microsoft.com/default.aspx?scid=kb;ja;887754
また12月2日現在、「サポート技術情報:889293」には、MS04-040の既知の不具合として、Windows Media High Definition
Video DVDで再生できないチャプターが生じるという問題を挙げている。MS04-038において、この不具合はWindows XP SP2でのみ発生するとしていた。MS04-040の修正プログラムは、Windows
XP SP2は対象外のため、この不具合の対象はWindows XP SP2以外(Windows 2000 SP3/SP4やWindows XP SP1/SP1a)ということになるが、これらで不具合が発生するかどうかは明記されていない(おそらくはサポート技術情報の間違いだと思われる)。
・サポート技術情報 889293(MS04-040: Cumulative Security Update for Internet Explorer):
http://support.microsoft.com/default.aspx?scid=kb;ja;889293
・サポート技術情報 884487(A chapter does not play when you click it in some WMV HD DVD
disks in Windows Media Player):
http://support.microsoft.com/default.aspx?scid=kb;ja;884487
なおMS04-040に関しては、MBSAとSystems Management Server(SMS)の組み合わせにおいて、MS04-040に対するMBSAの検出結果がSMSに反映されないという不具合があることも明らかになっている。この不具合についての詳細は、「サポート技術情報:889410」を参照していただきたい。
・サポート技術情報 889410(Systems Management Server deployment packages are available
for MS04-040 security updates for Internet Explorer 6 SP1):
http://support.microsoft.com/default.aspx?scid=kb;ja;889410
さらにサポート技術情報などに記述はないが、MS03-038と同様、仕様変更によってMS04-040の修正プログラムを適用すると、画像が無効なイメージ要素やHTTP/HTTPSでないURLを含むアンカー要素は、DHTMLを利用したドラッグ・アンド・ドロップ操作がブロックされるものと思われる。
・サポート技術情報 887614(Internet Explorer 用のセキュリティ更新プログラム MS04-038 の適用後、DHTML の一部のドラッグ
アンド ドロップ操作がブロックされる):
http://support.microsoft.com/default.aspx?scid=kb;ja;887614
■MS04-040の修正プログラムによって適用できなくなる不具合修正プログラム
MS04-040の修正プログラムが適用済みの場合、以下の不具合修正プログラムをインストールしようとしてもエラーが発生して失敗する。
・ダウンロード・センター(Internet Explorer 6 SP1 アップデート : DHTML エディタのテキスト上にポインタを置くと Internet
Explorer が予期せずに閉じる):[修正プログラム名:q827057.exe]
http://www.microsoft.com/downloads/details.aspx?
FamilyID=8b3f2fc6-220c-45ec-a8e4-2c312c303828&DisplayLang=ja
・ダウンロード・センター(837251: Internet Explorer 6 SP1 更新プログラム - Internet Explorer が、GZIP
データ圧縮方法を使用したデータを正しく展開しない):[修正プログラム名:Q837251.exe]
http://www.microsoft.com/downloads/details.aspx?
FamilyID=85bb441a-5bb1-4a82-86ec-a249af287513&DisplayLang=ja
Q837251.exeの不具合修正は、IEのロールアップ修正プログラム(KB871260/KB873377/KB889669)に含まれているため、いずれかのロールアップ修正プログラムを適用すればよい。q827057.exeについては、残念ながらMS04-025以降のIE用セキュリティ修正プログラムやKB871260以降のIE用ロールアップ修正プログラムをいったん適用すると、インストールはできなくなる。
■Windows XP SP未適用は修正プログラムの対象外
Windows XP SP未適用に対しては、2004年9月30日にサポート期間が終了したため、MS04-040の修正プログラムは提供されていない。マイクロソフトでは、MS04-040で解消する脆弱性がIE
6 SP未適用に存在するかどうかも明らかにしていない。今後、Windows XP SP未適用に対しては修正プログラムが提供されないことから、セキュリティ・リスクが高まるものと思われる。至急、Windows
XP SP1a/SP2の適用を検討していただきたい。
■Windows 98/98SE/Me向けの修正プログラムも提供
Windows 98/98SE/MeにおいてもMS04-040の脆弱性は「緊急」と判断されたことから、修正プログラムの提供が行われている。ただしWindows
NT 4.0/98/98SE/Me+IE 6 SP1向けと、Windows 2000/XP+IE 6 SP1向けの修正プログラムは別々に用意されているので注意していただきたい。
■Windows NT Workstation 4.0 SP 6a/2000 SP2向け修正プログラムは提供されない
Windows NT Workstation 4.0 SP6a/2000 SP2は、2004年6月30日のサポート・ライフサイクルが終了したため、MS04-040の修正プログラムは提供されない。Windows
2000 SP2は、SP3/SP4および対応する修正プログラムの適用によって脆弱性を解消できるので、至急、サービスパックと修正プログラムを適用していただきたい。一方、Windows
NT Workstation 4.0 SP6aについては、脆弱性を解消する手段がないため、OSのバージョンアップが必要となる。
■MBSA 1.21の結果
MS04-040の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「Internet
Explorer 用の累積的なセキュリティ更新プログラム (889293)」が表示される。
|