マイクロソフトは、「サポート技術情報：828026（Windows Media PlayerのURLスクリプト コマンド機能の更新）」の修正プログラムを適用すると、一部のURLスクリプト・コマンドが正常に機能しなくなるという不具合を明らかにしました。「サポート技術情報：828026」の修正プログラムは、脆弱性には分類されていないものの、「TechNetセキュリティ情報：MS03-040（Internet Explorer用の累積的な修正プログラム）」と同時に適用することを推奨された修正プログラムです。この修正プログラムは、ほかのセキュリティ・ゾーンからローカル・コンピュータ・ゾーンの中のURLを開かれる処理を制限するというもので、DHTMLの動作を悪用して、Windows Media Playerによって意図しないURLが開かれるのを防ぐものとしています。

・HotFix Alert MS03-040（オブジェクト・タイプに関する新たな2つの脆弱性の修正を含む、Internet Explorerの累積的な修正プログラム）：
http://www.hotfix.jp/archives/alert/2003/ms03-040.html

・TechNetセキュリティ情報 MS03-040（Internet Explorer用の累積的な修正プログラム）：
http://www.microsoft.com/japan/technet/security/bulletin/ms03-040.asp

　ところが、「サポート技術情報：832353（「サポート技術情報」の資料828026に記載されているWindows Media Playerの更新を適用後、一部のURL スクリプト コマンドが機能しない）」によると、「サポート技術情報：828026」の修正プログラムに不具合が見つかったことから、改善を施した修正プログラムを新たに提供したとしています。

　改訂版の修正プログラムは、以下のURLでダウンロード可能です。「サポート技術情報：828026」の修正プログラム適用後にMedia Playerでのコンテンツの再生に不具合が生じたり、Media Playerをコンポーネントとして利用するマルチメディア・アプリケーションに不具合が生じたりした場合は、改訂版の修正プログラムを適用すると改善される可能性があります。また、「サポート技術情報：828026」の修正プログラムを適用していない場合は、改訂版（サポート技術情報：832353）の修正プログラムを適用してください。

・Windows Media Player 6.4／7.1／9＋Windows Me：
http://www.microsoft.com/downloads/details.aspx?FamilyID=0198F4C8-7135-4421-90CA-61C92AD35FB3&displaylang=ja

・Windows Media Player 6.4＋Windows NT Server 4.0：
http://www.microsoft.com/downloads/details.aspx?FamilyID=50A0AA1C-FF20-4DC0-89D4-0647E4830EFF&displaylang=ja

・Windows Media Player（全バージョン）＋Windows 2000／XP／Windows Server 2003：
http://www.microsoft.com/downloads/details.aspx?FamilyID=D125D278-DB07-4A36-8D64-8812E7F2AF70&displaylang=ja

詳細：
　「サポート技術情報：828026」の改訂版である「サポート技術情報：832353」の修正プログラムでは、主に以下の2点に対する扱いが改善されています。

• HTTP以外のプロトコルを使って再生するコンテンツが、インターネット・ゾーンから発信されている場合
• 相対URLだけで参照されるURLスクリプト・コマンドが、制限付きゾーンから発信されている場合

　マイクロソフトの説明によれば、従来は上記の制限が強すぎ、実際にはより信頼度の高いゾーンから発信されていると認識すべきコンテンツが制限されるケースがあったことが、改訂版修正プログラムをリリースした理由としています。

　またマイクロソフトは、今回の新版ではWindows 2000／XP向けの修正プログラムのインストーラ（update.exe）のバージョンを更新し、「サポート技術情報：830846（Windows Updateのインストール中、応答が停止するか、大部分またはすべてのCPUリソースが消費される）」に記載されている不具合を修正したとしています。この不具合は、［プログラムのデバッグ］のユーザー権利の設定によって、修正プログラムの適用後、再起動が正しく行われない場合があるというものです。具体的には、何らかの理由により［管理ツール］−［ローカル セキュリティ ポリシー］−［ローカル ポリシー］−［ユーザー権利の割り当て］の［プログラムのデバッグ］という権利に、どのユーザー・アカウントも設定されていない場合に発生します。通常、［プログラムのデバッグ］は、AdministratorsとLocal Systemにその権限が割り当てられています。そのためローカル・ポリシーやグループ・ポリシーで、［プログラムのデバッグ］の権限を変更していなければ、この不具合は発生しません。

・サポート技術情報 830846（Windows Updateのインストール中、応答が停止するか、大部分またはすべての CPU リソースが消費される）：
http://support.microsoft.com/default.aspx?scid=kb;JA;830846

　しかしDA LabでWindows 2000／XP／Windows Server 2003向けの「サポート技術情報：832353」の修正プログラムを調査したところ、update.exeのバージョンは「5.3.23.4」と、「サポート技術情報：830846」に記載の不具合が生じるバージョンであることを確認しました。実際に、この修正プログラムを［プログラムのデバッグ］の権限を無効にしたコンピュータに適用したところ、再起動を促すダイアログ・ボックスが表示された後にボタンを押しても再起動が行われず、インストール・プログラムも正しく終了しませんでした（update.exeのプロセスが残留したままになります）。

　［プログラムのデバッグ］の権限を無効にしていなければ、この不具合の影響は受けないことから、権限を確認の上、修正プログラムを適用するようにしてください。なお、修正プログラム名は「WindowsMedia-KB832353-JPN.exe」となっており、これまでの命名ルールで想定される「WindowsMedia-KB832353-x86-JPN.exe」とは異なっています（本来は、-x86が入るはずです）。 実害はないものと思いますが、修正プログラムを管理する際には注意してください。

　マイクロソフトは、古いMDAC（Microsoft Data Access Components）がインストールされたコンピュータにてWindows Updateを実行すると、「TechNetセキュリティ情報：MS04-003（MDAC機能のバッファ オーバーランにより、コードが実行される）」の修正プログラムを適用しても、未適用として再度表示される不具合があることをトラブル・メンテナンス速報で明らかにしました。また、セキュリティ関連の掲示板において、MBSA（Microsoft Baseline Security Analyzer：修正プログラムの適用状況などをチェックするツール）やSoftware Update Services（SUS）でも同様の問題が発生する、と報告されています。

・マイクロソフトのトラブル・メンテナンス速報：
http://www.microsoft.com/japan/support/sokuho/default.asp

　この不具合は、「TechNetセキュリティ情報：MS04-003」がMDAC 2.5 SP2（MDAC 2.52）未満およびMDAC 2.6（MDAC 2.60）／MDAC 2.6 SP1（MDAC 2.61）のバージョンのMDACをサポートしていないにもかかわらず、Windows Updateに「TechNetセキュリティ情報：MS04-003」の修正プログラムが表示されてしまうために発生します。「TechNetセキュリティ情報：MS04-003」の修正プログラムはMDAC 2.5 SP1などをサポートしていないため、これらのバージョンがインストールされている環境で修正プログラムを実行しても、実際には修正プログラムは適用されません。そのため、再度Windows Updateに接続すると、修正プログラムの適用を促されることになります。

　この不具合は、「TechNetセキュリティ情報：MS04-003」の修正プログラムがサポート対象とするMDAC 2.5 SP2／2.5 SP3／2.6 SP2／2.7／2.7 SP1／2.7 SP 1 Refresh（2.7 SP1a）／2.8のいずれかにバージョンアップすることで解消可能です。

詳細：
　MDACのバージョンが古いために、修正プログラムが適用できないという不具合が発生します。マイクロソフトでは、MDAC 2.5 SP2／2.5 SP3／2.6 SP2／2.7／2.7 SP1／2.7 SP1 Refresh（2.7 SP1a）／2.8の各バージョンのみをサポート対象としており、これ以外のバージョンについては修正プログラムが提供されていません。例えばMDAC 2.5 SP1などは、「TechNetセキュリティ情報：MS03-033（MDAC機能の未チェックのバッファにより、システムが侵害される）」でもサポート対象外となっており、セキュリティ的にも脆弱なバージョンとなっています。

　コンピュータにインストールされているMDACのバージョンを調べる方法は、「HotFix Alert：MS04-003（MDACの未チェック・バッファの脆弱性により、コンピュータの制御を取得されてしまう危険性）」の「DA Lab：HotFixテスティング・チームからのコメント」を参照してください。また、「サポート技術情報：835173（MDACセキュリティ修正モジュールの適用に関連する補足事項）」も参照してください。

・サポート技術情報 835173（MDACセキュリティ修正モジュールの適用に関連する補足事項）：
http://support.microsoft.com/default.aspx?kbid=835173

　なおDA Labでは、比較的新しく、過去の不具合の多くが修正済みであるMDAC 2.7 SP1 RefreshまたはMDAC 2.8にバージョンアップすることをお勧めします。ただしMDACをバージョンアップすると、MDACを利用してデータベースにアクセスしているアプリケーションが影響を受ける可能性があります。バージョンアップの際には事前にアプリケーションの動作検証を行ってください。MDACは、以下のURLよりダウンロード可能です。

・Universal Data Access関連ダウンロード・ページ：
http://www.microsoft.com/japan/msdn/data/download.asp