マイクロソフトは、「TechNetセキュリティ情報:MS04-004(Internet Explorer 用の累積的なセキュリティ修正プログラム)」の修正プログラムを適用すると、ユーザー資格情報(ユーザー名とパスワード)を埋め込んだURLを指定したXMLHTTPの呼び出しがエラーになる不具合を明らかにしました。
XMLHTTPは、Microsoft XML(MSXML:XMLパーサ)のコンポーネントの一部です。MSXMLは、Windows XPのほか、Internet
Explorer 6やSQL Server 2000、MDACなどにも標準機能として装備されています。また、サードパーティ製のアプリケーションでも、MSXMLをインストールするものがあるようです。MSXMLがインストールされている場合は、%SystemRoot%\System32フォルダの下に「MSXML.dll(MSXML
1.0〜2.5の場合)」「MSXML2.dll(MSXML 2.6の場合)」「MSXML3.dll(MSXML 3.0の場合)」「MSXML4.dll(MSXML
4.0の場合)」のいずれかのファイルが存在しますので、ご確認ください。MSXMLは、バージョンごとに異なる.DLLファイルでインストールされるため、1つのWindowsに複数のバージョンのMSXMLがインストールされている場合もあります。
ネットワーク接続を伴うアプリケーションにおいて、MS04-004の修正プログラム適用後に、ネットワークへの接続が行えなくなったなどの症状が発生している場合は、XMLHTTPの不具合が原因になっている可能性があります。MSXML
3.0 SP2/SP3/SP4の各バージョンに対応した、この不具合を解消する修正プログラムがすでに公開されています。これらのバージョンを利用している場合は、修正プログラムの適用をご検討ください。そのほかのバージョンのMSXMLについては、現在のところ修正プログラムが提供されていません。提供が開始された時点で、改めてお知らせします。
|
詳細:
XMLHTTPは、HTTPを利用してXML文書をプログラムに渡すために利用されるコンポーネントです。XMLHTTPを使用するプログラムの例として、XMLHTTPを使用し、メール・サーバから電子メールを取得するOutlook
Web Access(OWA)クライアントなどがあります。
MS04-004の修正プログラムを適用すると、ユーザー資格情報を含んだURLが利用できなくなるため、以下のようなXMLHTTPの呼び出し時にエラーが発生します(一部のウイルス対策ソフトウェアが誤認識するため、以下のサンプルでは半角「@」を全角「@」で示しています)。
Xmlhttp.open("GET", "http://username:mypass@www.hotfix.jp/defult.asp",
false, false, "", ""); |
Xmlhttp.open("GET", "http://username:mypass@www.hotfix.jp/defult.asp",
false, "username", "password"); |
Xmlhttp.open("GET", "http://www.hotfix.jp/defult.asp",
false, "username", "mypass"); |
このようなユーザー資格情報を含んだ書式でXMLHTTPの呼び出しを行うことで、ユーザー認証ダイアログを表示させずに、ベーシック認証(基本認証)の施されたWebページに接続できます。ところが、MS04-004の修正プログラムにおいて、このようなユーザー資格情報を埋め込んだURLに対する接続をブロックするように仕様が変更されました。その結果、XMLHTTPにおいても、同様にユーザー資格情報を含むURLによる接続が行えなくなりました。MSXML
3.0 SP2/SP3/SP4向けに、この不具合を解消する修正プログラムがダウンロード・センターから入手可能です。これらのバージョンを利用している場合は、修正プログラムの適用をご検討ください。
・ダウンロード・センター(XML 3.0 Service Pack 2):
http://www.microsoft.com/downloads/details.aspx?FamilyID=4a4c0160-2872-48f0-867a-b64f87703e91&DisplayLang=ja
・ダウンロード・センター(XML 3.0 Service Pack 3):
http://www.microsoft.com/downloads/details.aspx?FamilyID=4953d13c-68b7-4cd5-8993-220455b92c0c&DisplayLang=ja
・ダウンロード・センター(XML 3.0 Service Pack 4):
http://www.microsoft.com/downloads/details.aspx?FamilyID=0031ba5d-7b07-4872-b7a7-6bbd384ba8e9&DisplayLang=ja
MSXML 3.0 SP2/SP3/SP4がインストールされているかどうかは、%SystemRoot%\System32\MSXML3.dllのファイル・バージョンで確認できます。
MSXMLのバージョン |
ファイル・バージョン |
MSXML 3.0 SP2 |
8.20.8730.1以上 |
MSXML 3.0 SP3 |
8.30.9926.0以上 |
MSXML 3.0 SP4 |
8.40.9419.0以上 |
|