マイクロソフトは、Office XP/Visio 2002/Project 2002向けにMS04-028の修正プログラムを再リリースした。Windowsインストーラ3.0がインストールされており、かつ事前に特定のOffice用修正プログラムが適用済みの場合に、MS04-028のOffice
XP/Visio 2002/Project 2002向け修正プログラムを適用しても、ファイル(mso.dll)が正しく置き換わらないという不具合を修正したものだ。Windowsインストーラ3.0はWindows
XP SP2に含まれていることから、Windows XP SP2とOffice XP/Project 2002の組み合わせで利用している全ユーザーが対象となる可能性がある。
・HotFix Alert MS04-028(JPEG処理のバッファ・オーバーランの脆弱性により、リモートで任意のコードが実行される危険性):
http://www.hotfix.jp/archives/alert/2004/ms04-028.html
・TechNetセキュリティ情報 MS04-028(JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される):
http://www.microsoft.com/japan/technet/security/bulletin/ms04-028.asp
・サポート技術情報(Office XP セキュリティ更新プログラム (2004 年 10 月 12 日) の詳細):
http://support.microsoft.com/?scid=kb;ja;832332
MS04-028の適用に障害となる修正プログラムは、「サポート技術情報:886992」にまとめられている。
・サポート技術情報 886992(MS04-028 の特定のセキュリティ更新プログラムの正常なインストールを妨げるソフトウェア更新プログラム):
http://support.microsoft.com/default.aspx?scid=kb;ja;886992
このリストを調べた限り、日本語環境で適用される可能性があるものは以下の3つのみであった。ただしMDAC 2.6 SP1については、記載のファイル名が異なることなどから、マイクロソフトの誤記である可能性もある。またこれ以外の修正プログラムは、日本語版Office
XPには無関係な修正プログラムか、またはリリースされていてもマイクロソフト・プロダクト・サポート・サービスへの連絡が必要な一般非公開の修正プログラムだった。
・サポート技術情報 832668(Office XP 入力システム アップデート (2004 年 3 月 9 日):
http://support.microsoft.com/kb/832668
・サポート技術情報 830241(Microsoft Project 2002 Service Pack 1 について):
http://support.microsoft.com/kb/830241
・サポート技術情報 842271(MDAC 2.6 Service Pack 1(2.61.7326.6)のリリース マニフェスト):[英語版]
http://support.microsoft.com/kb/842271
これらの修正プログラムを適用していた場合、MS04-028の修正プログラムを適用していても、脆弱性を解消したファイルに置き換わっていない可能性があることから、再リリースされた修正プログラムを適用する必要がある。
・ダウロードセンター(Office XP セキュリティ修正プログラム: KB832332):
http://www.microsoft.com/downloads/details.aspx?FamilyID=7d128614-6d34-49df-8d63-6c17e9a2d312&DisplayLang=ja
・ダウロードセンター(Visio 2002 セキュリティ修正プログラム: KB831932):
http://www.microsoft.com/downloads/details.aspx?FamilyID=16c2dffd-7b73-43c4-ab0d-2b5efc80eb63&DisplayLang=ja
・ダウロードセンター(Project 2002 セキュリティ修正プログラム: KB831931):
http://www.microsoft.com/downloads/details.aspx?FamilyID=b3ebccea-b0e4-41c7-a6f4-413864d2ccf3&DisplayLang=ja
また同時にダウンロード・センターでは、Office XPの管理者向け修正プログラムの提供も開始された。クライアント向け修正プログラムでは、適用対象がOffice
XP SP3に限定されていたが、管理者向けではOffice XP SP2/SP3と対象が広げられている。Office XP SP2を利用している場合は、管理者向け修正プログラムを適用することで、Office
XP SP3へアップグレードせずに脆弱性が解消できる。
|