このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 

更新日:2004/08/04


不具合ならびに追加情報

情報の種類 セキュリティ番号 タイトル
脆弱性 −/− Internet Explorerが異常終了する不具合
追加 −/842532など Office 2003 SP1の提供開始
追加 −/− DirectX 9.0cの提供開始
不具合 −/− そのほかの不具合情報
 
[脆弱性情報]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
Internet Explorerが異常終了する不具合
情報ソース Full-Disclosure、BugTraqなど
情報の内容 IEが異常終了する不具合
条件 不正なHTMLタグが記述されたWebページへのアクセス
報告日 2004年7月24日

 Full-DisclosureやBugTraqなどのセキュリティ関連のメーリング・リストにおいて、以下のHMTLタグ([]は<>のこと)が記述されたWebページを開くと、Internet Explorer(IE)が異常終了する不具合があることが報告されている。

[STYLE]@;/*

 DA Labで実際に試したところ、上述のHTMLタグが記述されたWebページへのリンクをクリックした時点で、IE 6 SP1が異常終了した(IE 5.5 SP2では障害は発生しなかった)。これを悪用するとIEのDoS攻撃が可能になる。原因は、IE 6 SP1のMSHTML.DLLのHTMLパーサーにあるようだ。この不具合は、7月31日に提供されたMS04-025の修正プログラムでも解消されない。

 現在のところ、マイクロソフトからはこの不具合についての報告や修正プログラムの提供は行われていない。容易に悪用できそうな不具合なだけに、早急な対応が望まれる。

・Full-Disclosure:(Crash IE with 11 bytes ;) ):
http://lists.netsys.com/pipermail/full-disclosure/2004-July/024291.html

・BugTraq(Re: [Full-Disclosure] Crash IE with 11 bytes ;) ):
http://www.securityfocus.com/archive/1/370309

情報の対象:
 Internet Explorer
   
[追加情報]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
842532
883414
842774
840663
837240
Office 2003 SP1の提供開始
情報ソース マイクロソフト
情報の内容 Office 2003 SP1の提供開始
条件 Office 2003の利用
報告日 2004年7月28日

 マイクロソフトは、Office 2003のサービスパック「Office 2003 Service Pack 1(以下、Office 2003 SP1)」の提供を開始した。同時にHome Style+/OneNote 2003/Visio 2003/Project 2003にもSP1が提供された。各SP1は、ダウンロード・センターまたはオンライン/FAX申し込みによるCD-ROMで提供されている。CD-ROM(実費負担)は、2004年10月下旬ごろより提供が開始される予定だ。またOffice Updateサイトでインストールさせることもできる。なおOffice 2003 SP1は、サービスパックのみの提供で、パッケージ製品の変更はないとしている。

・サポート技術情報 842532(Office 2003 Service Pack 1について):
http://support.microsoft.com/default.aspx?scid=kb;ja;842532

・サポート技術情報 883414(Home Style+ Service Pack 1について):
http://support.microsoft.com/default.aspx?scid=kb;ja;883414

・サポート技術情報 842774(OneNote 2003 Service Pack 1について):
http://support.microsoft.com/default.aspx?scid=kb;ja;842774

・サポート技術情報 840663(Visio 2003 Service Pack 1について):
http://support.microsoft.com/default.aspx?scid=kb;ja;840663

・サポート技術情報 837240(Project 2003 Service Pack 1について):
http://support.microsoft.com/default.aspx?scid=kb;ja;837240

 Office 2003 SP1では、セキュリティ修正プログラムのほか、これまで報告された不具合修正プログラムも含まれる。またOneNote SP1では、Pocket PCとの連携機能やパスワード保護、動画+メモが可能になるなど、大幅な機能強化も行われている。各SP1については、サポート技術情報を参照していただきたい。またSP1は、以下のURLでダウンロード可能だ。

・ダウンロード・センター(Office 2003 Service Pack 1):
http://www.microsoft.com/downloads/details.aspx?FamilyID=9c51d3a6-7cb1-4f61-837e-5f938254fc47&DisplayLang=ja

・ダウンロード・センター(Microsoft Office Home Style+ Service Pack 1):
http://www.microsoft.com/downloads/details.aspx?FamilyID=02336138-4d3c-4157-944f-16fa3b68fb61&DisplayLang=ja

・ダウンロード・センター(OneNote 2003 Service Pack 1):
http://www.microsoft.com/downloads/details.aspx?FamilyID=07408348-26c9-43bb-9e7e-6151cf15d415&DisplayLang=ja

・ダウンロード・センター(Visio 2003 Service Pack 1):
http://www.microsoft.com/downloads/details.aspx?FamilyID=afca0578-e1fb-4540-b0cc-ff83def61cc6&DisplayLang=ja

・ダウンロード・センター(Project 2003 Service Pack 1):
http://www.microsoft.com/downloads/details.aspx?FamilyID=1b04c073-e58f-4f42-b76d-6b565a45cdc3&DisplayLang=ja

・ダウンロード・センター(Project Server 2003 Service Pack 1):
http://www.microsoft.com/downloads/details.aspx?FamilyID=5dea5862-d534-4f17-ab08-7c9b790c5b15&DisplayLang=ja

情報の対象:
 Office 2003
 Office Home Style+
 OneNote 2003
 Visio 2003
 Project 2003
 Project Server 2003

詳細:
■Office 2003 SP1はアンインストールできない
 Office 2003 SP1は、一度インストールすると、アンインストールができないので注意が必要だ。SP1をインストール後、不具合などが発生し、Office 2003 SP未適用に戻す場合は、Office 2003をアンインストールし、インストールCDからOffice 2003 SP未適用を再インストールする必要がある。大規模にOffice 2003 SP1を展開する前に、十分な検証を行いたい。

・サポート技術情報 873125(Office 2003製品に適用したService Pack 1は削除できない):
http://support.microsoft.com/default.aspx?scid=kb;ja;873125

■Officeインターネット予定表空き時間情報サービスが利用できなくなる
 「サポート技術情報:842166」では、Office 2003 SP1をインストールすると、「Microsoft Officeインターネット予定表空き時間情報(OIFB)サービス」にアクセスするすべてのOutlook 2003の機能が利用できなくなると報告している。OIFBサービスは、インターネットを介して、予定表の空き時間を共有可能にするマイクロソフトのサービスである。

 Office 2003 SP1をインストールすると、Outlook 2003上のOIFBサービスに関するエントリ・ポイントが削除されるか、利用できなくなる。これは、OIFBサービスが2004年内に終了する予定であることが原因である。以下の方法で、OIFBサービスの代替策が利用できる。

  • 読み取り/書き込みアクセス許可のあるサーバで、空き時間情報を公開する。
  • MSN Premiumアカウントで、Microsoft Office Outlook Connector for MSN を利用して空き時間情報を共有する。

・サポート技術情報 842166(Office 2003 Service Pack 1を適用すると、Microsoft Officeインターネット予定表空き時間情報サービス機能が削除される):
http://support.microsoft.com/default.aspx?scid=kb;ja;842166

■IME 2003にSP1をインストール後、再起動しないとコンピュータがハングアップする可能性がある
 「サポート技術情報:883387」では、Office 2003 SP1やOneNote SP1をインストールし、IME 2003をSP1レベルに更新した後、コンピュータの再起動を行わずにログオフ/ログオンを繰り返すと、コンピュータがハングアップ(応答しなくなる)する場合があると注意している。SP1をインストール後、一度でも再起動を行っていれば、この不具合は発生しないとしている。

・サポート技術情報 883387(IME 2003をService Pack 1レベルに更新を行った場合にはコンピュータの再起動が必要):
http://support.microsoft.com/default.aspx?scid=kb;ja;883387

   
[追加情報]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
DirectX 9.0cの提供開始
情報ソース マイクロソフト
情報の内容 DirectX 9.0cの提供開始
条件 DirectXの利用
報告日 2004年7月29日

 マイクロソフトは、Windowsのマルチメディア・プログラミング・インターフェイス(API)をサポートするコンポーネント「DirectX」の最新版となる「DirectX 9.0c」の提供を開始した。DirectX 9.0cは、Windows 98/Me/2000/XP/Server 2003にインストール可能で、DirectX 9.0対応のグラフィックス・カードと組み合わせて利用することで、主にゲームの3Dグラフィックス機能が強化される。

・ダウンロード・センター(DirectX 9.0c End-User Runtime):
http://www.microsoft.com/downloads/details.aspx?FamilyID=0a9b6820-bfbb-4799-9908-d418cdeac197&DisplayLang=ja

 企業向けアプリケーションにおいて、DirectX 9を要求されるものはないと思われる。そのため、急いでインストールする必要はないだろう。ただ、すでにDirectX 9.0bを利用していて何らかの問題が生じている場合は、DirectX 9.0cで不具合などが解消される可能性があるので、インストールを検討するとよい。なお、DirectX 9.0cはアンインストールできないので、インストールの際には注意が必要だ。大規模に展開する場合は、不具合が発生しないかどうか事前に十分な検証を実施したい。

 DirectX 9.0cは、Windows XP SP2に含まれる予定だ。

情報の対象:
 Windows 98
 Windows Me
 Windows 2000
 Windows XP
 Windows Server 2003

詳細:
 DirectX 9.0cは、以下の手順でサイレント・インストールが可能である。まずDirectX 9.0cの再配布版(directx_9c_redist.exe)をダウンロード・センターからダウンロードする。

・ダウンロード・センター(DirectX 9.0c Redistributable for Software Developers - Multilingual - 日本語):
http://www.microsoft.com/downloads/details.aspx?FamilyID=9226a611-62fe-4f61-aba1-914185249413&DisplayLang=ja

 次に以下のコマンド・ラインを実行する。ここでは、\temp\dx90cにファイルを解凍している。

directx_9c_redist /C /T:c:\temp\dx90c

 展開されたファイルから「dxsetup.exe」を以下のコマンド・ラインで実行する。

c:\temp\dx90c\dxsetup /silent

 これにより、何の操作なしにDirectX 9.0cのセットアップは実行され、自動的に再起動することなく終了する。セットアップが終了したら、再起動を行い、管理者権限を持つユーザー・アカウントで対話的なログオンを行う。対話的なログオンを行わないと、.DLLファイルの登録が行われず、インストールは完了しない。

■DirectX 9.0cに含まれる修正プログラムなど
 .DLLファイルのファイル・バージョンを確認したところ、以下の修正プログラムが、DirectX 9.0cに含まれると思われる。

・TechNetセキュリティ情報 MS04-016:(DirectPlayの脆弱性により、サービス拒否が起こる):
http://www.microsoft.com/japan/technet/security/bulletin/ms04-016.asp

・サポート技術情報 825116(DirectX 9.0bへアップグレードすると、NTSC-J、PALまたはSECAM形式のTVチューナが正しく動作しなくなる):
http://support.microsoft.com/default.aspx?scid=kb;ja;825116

・サポート技術情報 831937(FIX: Loss of audio or audio dropouts occur when you export DVCPRO 25 content by using an IEEE 1394 bus):
http://support.microsoft.com/default.aspx?scid=kb;EN-US;831937

   

■そのほかの不具合/追加情報

・サポート技術情報 257758(コンピュータの起動時に "仮想メモリが限界です" というエラー メッセージが表示される):[Windows NT 4.0][Windows 2000]
http://support.microsoft.com/default.aspx?scid=kb;ja;257758

・サポート技術情報 238401(Access 2000またはAccess 2002にアップグレードするとエラー "データベースの形式を認識できません。" が発生する):[Access 2000][Access 2002]
http://support.microsoft.com/default.aspx?scid=kb;ja;238401

・サポート技術情報 878514(長い共有名を付けられたプリンタの設定が有効にならない):[Excel 2000][Excel 2002][Excel 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;878514

 

・HotFix Report マイクロソフト・サイト更新情報(テスト運用中):
http://www.hotfix.jp/msupdate/mssite/index.html

 

UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。
HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先
info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。