マイクロソフトは、「TechNetセキュリティ情報：MS04-004（Internet Explorer 用の累積的なセキュリティ修正プログラム）」の修正プログラムを適用すると、ユーザー資格情報（ユーザー名とパスワード）を埋め込んだURLを指定したXMLHTTPの呼び出しがエラーになる不具合を明らかにしました。

　XMLHTTPは、Microsoft XML（MSXML：XMLパーサ）のコンポーネントの一部です。MSXMLは、Windows XPのほか、Internet Explorer 6やSQL Server 2000、MDACなどにも標準機能として装備されています。また、サードパーティ製のアプリケーションでも、MSXMLをインストールするものがあるようです。MSXMLがインストールされている場合は、%SystemRoot%\System32フォルダの下に「MSXML.dll（MSXML 1.0〜2.5の場合）」「MSXML2.dll（MSXML 2.6の場合）」「MSXML3.dll（MSXML 3.0の場合）」「MSXML4.dll（MSXML 4.0の場合）」のいずれかのファイルが存在しますので、ご確認ください。MSXMLは、バージョンごとに異なる.DLLファイルでインストールされるため、1つのWindowsに複数のバージョンのMSXMLがインストールされている場合もあります。

　ネットワーク接続を伴うアプリケーションにおいて、MS04-004の修正プログラム適用後に、ネットワークへの接続が行えなくなったなどの症状が発生している場合は、XMLHTTPの不具合が原因になっている可能性があります。MSXML 3.0 SP2／SP3／SP4の各バージョンに対応した、この不具合を解消する修正プログラムがすでに公開されています。これらのバージョンを利用している場合は、修正プログラムの適用をご検討ください。そのほかのバージョンのMSXMLについては、現在のところ修正プログラムが提供されていません。提供が開始された時点で、改めてお知らせします。

詳細：
　XMLHTTPは、HTTPを利用してXML文書をプログラムに渡すために利用されるコンポーネントです。XMLHTTPを使用するプログラムの例として、XMLHTTPを使用し、メール・サーバから電子メールを取得するOutlook Web Access（OWA）クライアントなどがあります。

　MS04-004の修正プログラムを適用すると、ユーザー資格情報を含んだURLが利用できなくなるため、以下のようなXMLHTTPの呼び出し時にエラーが発生します（一部のウイルス対策ソフトウェアが誤認識するため、以下のサンプルでは半角「@」を全角「＠」で示しています）。

　このようなユーザー資格情報を含んだ書式でXMLHTTPの呼び出しを行うことで、ユーザー認証ダイアログを表示させずに、ベーシック認証（基本認証）の施されたWebページに接続できます。ところが、MS04-004の修正プログラムにおいて、このようなユーザー資格情報を埋め込んだURLに対する接続をブロックするように仕様が変更されました。その結果、XMLHTTPにおいても、同様にユーザー資格情報を含むURLによる接続が行えなくなりました。MSXML 3.0 SP2／SP3／SP4向けに、この不具合を解消する修正プログラムがダウンロード・センターから入手可能です。これらのバージョンを利用している場合は、修正プログラムの適用をご検討ください。

・ダウンロード・センター（XML 3.0 Service Pack 2）：
http://www.microsoft.com/downloads/details.aspx?FamilyID=4a4c0160-2872-48f0-867a-b64f87703e91&DisplayLang=ja

・ダウンロード・センター（XML 3.0 Service Pack 3）：
http://www.microsoft.com/downloads/details.aspx?FamilyID=4953d13c-68b7-4cd5-8993-220455b92c0c&DisplayLang=ja

・ダウンロード・センター（XML 3.0 Service Pack 4）：
http://www.microsoft.com/downloads/details.aspx?FamilyID=0031ba5d-7b07-4872-b7a7-6bbd384ba8e9&DisplayLang=ja

　MSXML 3.0 SP2／SP3／SP4がインストールされているかどうかは、%SystemRoot%\System32\MSXML3.dllのファイル・バージョンで確認できます。