[HotFix Report 2004/08/25］不具合／追加情報

このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」をご参照ください。

更新日：2004/08/25

不具合ならびに追加情報

情報の種類	セキュリティ番号	タイトル
脆弱性	－／－	DHTMLの脆弱性により、Internet Explorerで任意のフォルダにファイルがコピーされる危険性
不具合	－／838585など	マイクロソフトがWindows XP SP2インストールによって生じる不具合を公表
追加	－／－	Windows XP SP2に対応したMBSA 1.2.1の日本語版の提供開始
不具合	－／－	そのほかの不具合情報

［脆弱性情報］

HotFix Alert：

－

セキュリティ番号：

－

サポート技術情報：

－

DHTMLの脆弱性により、Internet Explorerで任意のフォルダにファイルがコピーされる危険性

情報ソース	http-equiv氏、BugTraq、Secuniaなど
情報の内容	IEの脆弱性
条件	IE上でのファイルのドラッグ・アンド・ドロップ
報告日	2004年8月19日

　Secuniaは、http-equiv氏が2004年7月17日にBugTraqに投稿したInternet Explorer（IE）の脆弱性について検証を行い、その結果を報告した。

・Secunia（Microsoft Internet Explorer Drag and Drop Vulnerability）：
http://secunia.com/advisories/12321/

　この脆弱性は、「TechNetセキュリティ情報：MS03-048」で報告、修正されたDHTML（ダイナミックHTML）イベント中のドラッグアンドドロップ操作に関連する脆弱性の変形とのことだ。MS03-048による修正が完全ではないために脆弱性が存在する。IE上でアイコンを特定領域にドラッグ・アンド・ドロップさせると、許可を求めるダイアログを表示せずに、ファイルをスタートアップなどの任意のフォルダにダウンロードする。そのため、ウイルスなどをスタートアップ・フォルダに保存することが可能となる（再ログオン時に実行される）。Secuniaの報告によれば、脆弱性はIE 5.01／5.5／6に存在し、Windows XP SP1／SP2ともに影響を受けるとしている。

・HotFix Alert MS03-048（クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet Explorer用の累積的な修正）：
http://www.hotfix.jp/archives/alert/2003/ms03-048.html

・TechNetセキュリティ情報 MS03-048（Internet Explorer 用の累積的なセキュリティ更新）：
http://www.microsoft.com/japan/technet/security/bulletin/ms03-048.asp

　攻撃者は、攻撃を仕掛けたWebサイトを用意し、そこにユーザーを誘導、さらにアイコンをドラッグ・アンド・ドロップさせる必要がある。このように攻撃を実行するには、ユーザーに複数ステップの操作を実行させなければならない。そのため、素性の知れないWebサイトを訪問しなければ、危険性はそれほど高くない。しかし、攻撃手法を工夫することで、アイコンをクリックしただけで、ファイルを保存することも可能になるとしていることから、メール・ウイルスなどへの悪用が懸念される。現在のところ、この脆弱性についてマイクロソフトからの報告はない。

情報の対象：
　Internet Explorer

詳細：
　DA Labで、この報告の元となったhttp-equiv氏の実証コードを検証してみた。その結果、Windows 2000 SP4＋IE 6 SP1／IE 5.5 SP2ともにアイコンを、指定エリア（赤い点線で囲まれた部分）にドロップすることができなかった。Windows XP SP1a＋IE 6 SP1では、Secuniaのレポートどおり脆弱性が存在し、アイコンを指定エリアにドロップすることで、スタートアップ・フォルダに実行ファイルが登録された。Windows XP SP2＋IE 6 SP2では、Windows 2000と同様にドロップすることができなかった。Windows XP SP1／SP1aを利用している場合は、特に注意した方がよさそうだ。

OS	IE	結果
Windows 2000 SP4	IE 5.5 SP2	影響なし
	IE 6 SP1	影響なし
Windows XP SP1a	IE 6 SP1	影響あり
Windows XP SP2	IE 6 SP2	影響なし

［不具合情報］

HotFix Alert：

－

セキュリティ番号：

－

サポート技術情報：

－

マイクロソフトがWindows XP SP2インストールによって生じる不具合を公表

情報ソース	マイクロソフト
情報の内容	Windows XP SP2による不具合
条件	Windows XP SP2のインストール
報告日	2004年8月23日

　マイクロソフトは、Windows XP SP2をインストールすることによって生じる不具合を公開した。またWindows XP SP2向けとしては初めての不具合修正プログラムの提供を開始している。

　修正プログラムが提供されているのは、「サポート技術情報：884020」で情報提供されたIPアドレスのループバック・アドレスの不具合に対するものである。これは、127.0.0.1以外のループバック・アドレスへ接続する場合に接続が拒否される、というものだ。IPアドレスが127.0.0.1以外のループバック・アドレスを利用するVPNソフトウェアなどはこの障害の影響を受ける。この不具合を解消する修正プログラムは、マイクロソフト・プロダクト・サポート・サービスに連絡することで入手可能だ。

・サポート技術情報 884020（Windows XP Service Pack 2 でループバックアドレスの範囲内の IP アドレスに接続するプログラムが正常に動作しないことがある）：
http://support.microsoft.com/default.aspx?scid=kb;ja;884020

　なお、PCベンダ／ソフトウェア・ベンダごとのWindows XP SP2に関する情報へのリンクは、以下のページにまとめられている。

・マイクロソフト（各メーカー別Windows XP Service Pack 2関連情報）：
http://www.microsoft.com/japan/windowsxp/compatible/sp2/

　そのほかWindows XP SP2のインストールによって生じる不具合は、以下のURLのサポート技術情報を参照のこと。すでに多くの不具合が報告されているので、Windows XP SP2をインストールする前にPCベンダ／ソフトウェア・ベンダのホームページとともに、以下のページを参照し、業務に支障が生じないことを確認したい。

■Windows XP SP2のインストールによって生じる主な不具合

・サポート技術情報 884488（You receive a "The page cannot be displayed" error message when you access a Web site that is hosted on a Windows XP SP2-based computer）：
http://support.microsoft.com/default.aspx?scid=kb;EN-US;884488

・サポート技術情報 883575（Description of the known issues with using Outlook Web Access on a Windows XP SP2-based computer）：
http://support.microsoft.com/default.aspx?scid=kb;EN-US;883575

・サポート技術情報 873176（Windows XP Service Pack 2ベースのコンピュータにPaint Shop Pro 8をインストールできない）：
http://support.microsoft.com/default.aspx?scid=kb;ja;873176

・サポート技術情報 873173（The Application Center 2000 client snap-in does not display correct health monitor information in Windows XP Service Pack 2）：
http://support.microsoft.com/default.aspx?scid=kb;EN-US;873173

・サポート技術情報 873155（Windows XP Service Pack 2でNorton CleanSweepのスマートスイープ機能を有効にすると、デスクトップが正常に表示されず、エラーメッセージ "アプリケーションを正しく初期化できませんでした (0xc00000005)" が表示される）：
http://support.microsoft.com/default.aspx?scid=kb;ja;873155

・サポート技術情報 873154（Windows XP Service Pack 2の起動時にBluetoothキーボードまたはマウスが検出されない）：
http://support.microsoft.com/default.aspx?scid=kb;ja;873154

・サポート技術情報 840635（Windows XP Service Pack 2 のインストール後、Bluetooth デバイスをインストールできない）：
http://support.microsoft.com/default.aspx?scid=kb;ja;840635

・サポート技術情報 840634（You receive an "Access denied" or "The network path was not found" error message when you try to remotely manage a computer that is running Windows XP Service Pack 2）：
http://support.microsoft.com/default.aspx?scid=kb;EN-US;840634

・サポート技術情報 870897（SonicWALL Complete Anti-Virus program does not work after you install Windows XP Service Pack 2）：
http://support.microsoft.com/default.aspx?scid=kb;EN-US;870897

・サポート技術情報 870896（Windows XP Service Pack 2ベースの東芝のコンピュータで、IP電話接続を終了するときにエラーメッセージ "STOP: 0x000000D5" が表示される）：
http://support.microsoft.com/default.aspx?scid=kb;ja;870896

・サポート技術情報 878474（Your computer repeatedly restarts after you install Windows XP Service Pack 2）：
http://support.microsoft.com/default.aspx?scid=kb;EN-US;878474

・サポート技術情報 884130（Programs that are known to experience a loss of functionality when they run on a Windows XP Service Pack 2-based computer）：
http://support.microsoft.com/default.aspx?scid=kb;EN-US;884130

・サポート技術情報 870901（"Installation failed: Access is denied" error message when you try to perform a remote installation of Computer Associates eTrust Antivirus 7.0 client software on a computer that is running Windows XP Service Pack 2）：
http://support.microsoft.com/default.aspx?scid=kb;EN-US;870901

・サポート技術情報 883608（Windows XP Service Pack 2のインストール後、Visual Studio .NETでCOMオブジェクトへの参照を追加するとエラーメッセージが表示される）：
http://support.microsoft.com/default.aspx?scid=kb;ja;883608

・サポート技術情報 883609（Windows XP Service Pack 2のインストール時に、エラーメッセージ "このService Packでは、セットアップ開始前にコンピュータがAC電源に接続されている必要があります" が表示される）：
http://support.microsoft.com/default.aspx?scid=kb;ja;883609

・サポート技術情報 872769（Windows Small Business Server 2003ベースのネットワーク内にあるWindows XP Service Pack 2ベースのクライアントコンピュータでWindowsファイアウォールまたはセキュリティセンターの設定を構成できない）：
http://support.microsoft.com/default.aspx?scid=kb;ja;872769

■Office製品とWindows XP SP2の組み合わせで生じる不具合
　Office製品とWindows XP SP2との組み合わせで生じる不具合については、以下のサポート技術情報にまとめられている。Officeコンポーネントを利用した業務アプリケーションを利用している場合も影響を受ける可能性があるので注意したい。

・サポート技術情報 838585（Windows XP Service Pack 2環境でOfficeアプリケーションを使用する場合の注意事項）：
http://support.microsoft.com/default.aspx?scid=kb;ja;838585

情報の対象：
　Windows XP SP2

［追加情報］

HotFix Alert：

－

セキュリティ番号：

－

サポート技術情報：

－

Windows XP SP2に対応したMBSA 1.2.1の日本語版の提供開始

情報ソース	マイクロソフト
情報の内容	MBSA 1.2.1の提供開始
条件	Windows XP SP2の対応
報告日	2004年8月17日

　マイクロソフトは、修正プログラムの適用状態などをチェックするツール「Microsoft Baseline Security Analyzer（MBSA）」をバージョンアップし、Windows XP SP2に対応した「MBSA 1.2.1」の提供を開始した。

・ダウンロード・センター（Microsoft Baseline Security Analyzer V1.2.1）：
http://www.microsoft.com/downloads/details.aspx?FamilyID=b13ebd6b-e258-4625-b0a3-64a4879f7798&DisplayLang=ja

　MBSA 1.2.1では、Windows XP SP2で導入されたWindowsファイアウォールの状態がチェック（ローカルで実行した場合）できるようになったなど、主にWindows XP SP2への対応が行われている。MBSA 1.2がインストールされた環境でも上書きインストールが可能なので、バージョンアップするとよい。なお、Windows XP SP2のWindowsファイアウォールが有効の場合、Windowsファイアウォールの［例外］タブで「ファイルとプリンタの共有」をチェックしていないと、リモートから修正プログラムの適用状況などを調べることができないので注意したい。

情報の対象：
　MBSA

■そのほかの不具合／追加情報

・サポート技術情報 884516（NTFS4でフォーマットされたディスクをWindows Server 2003に接続するとNTFSの自動変換に失敗する場合がある）：［Windows Server 2003］
http://support.microsoft.com/default.aspx?scid=kb;ja;884516

・サポート技術情報 884644（Office 2003 SP1インストール中に "ファイル SKU0A4.CAB が見つかりませんでした" エラー）：［Office 2003］
http://support.microsoft.com/default.aspx?scid=kb;ja;884644

・サポート技術情報 884524（ファイル保存時にアプリケーションエラーが発生する）：［Visio 2002］
http://support.microsoft.com/default.aspx?scid=kb;ja;884524

・HotFix Report マイクロソフト・サイト更新情報（テスト運用中）：
http://www.hotfix.jp/msupdate/mssite/index.html

UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。
HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。

Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先：info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。