■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows NT Server 4.0 SP6a |
○
|
Windows NT Server 4.0, Enterprise Edition SP6a |
○
|
Windows 2000 Professional SP3 |
○
|
Windows 2000 Professional SP4 |
○
|
Windows 2000 Server SP4 |
○
|
Windows 2000 Advanced Server SP3 |
○
|
Windows XP Professional SP1 |
○
|
Windows XP Professional SP1a |
○
|
Windows XP Professional SP2 |
○
|
Windows Server 2003, Standard Edition |
○
|
Windows Server 2003, Enterprise Edition |
○
|
■MS05-001の修正プログラム適用による既知の不具合
MS05-001の適用によって以下の不具合が発生する可能性があることが、「サポート技術情報:890175」で報告されている。
・サポート技術情報 890175(MS05-001: Vulnerability in HTML Help could allow code execution):
http://support.microsoft.com/kb/890175/en-us
http://support.microsoft.com/kb/890175[機械翻訳]
・MS05-001の修正プログラムをアンインストールするとHTMLヘルプ機能が動作しなくなる
Windows 98/98SE/Me、Windows NT Server 4.0 SP6a、Windows 2000 SP3、Windows XP SP1では、MS05-001を適用する前に、「サポート技術情報:811630」で提供された修正プログラムを適用しておく必要がある。MS05-001を適用後、「サポート技術情報:811630」を適用し、さらにMS05-001をアンインストールした場合、HTMLヘルプ機能が動作しなくなる可能性があるためだ。不具合が発生した場合、「サポート技術情報:811630」の修正プログラムを先に適用してから、MS05-001の修正プログラムを適用すればよい。
・サポート技術情報 892675(HTML Help files do not work correctly after you uninstall
security update 890175 (MS05-001)):
http://support.microsoft.com/kb/892641/en-us
http://support.microsoft.com/kb/892641[機械翻訳]
・サポート技術情報 811630(HTML ヘルプが window.showHelp() メソッドで呼び出されたときの機能を制限するための更新):
http://support.microsoft.com/kb/811630
Windows XP SP1の場合、「サポート技術情報:811630」の修正プログラムはWindows XP 用ロールアップ修正プログラム 1に含まれている。そのため、ロールアップ修正プログラム1が適用済みなら「サポート技術情報:811630」を適用する必要はない。どちらも未適用なら、既知の脆弱性も解消するロールアップ修正プログラム1を適用する方が望ましい。
・サポート技術情報 826939(Windows XP 用ロールアップ修正プログラム 1 について):
http://support.microsoft.com/kb/826939
・MS05-001の修正プログラムを適用するとHTMLヘルプ機能を利用する一部のWebアプリケーションが機能しなくなる
MS05-001の修正プログラムを適用すると、特定のWebアプリケーションが正しく動作しなくなる。適用によって、HTMLヘルプ・テーブル(TOC)は機能しなくなったり、HTMLヘルプのActiveXコントロールがローカル・マシン・ゾーンの外側にあるHTMLコンテンツへアクセスするのを制限したりするために起きる。この不具合は、レジストリを変更することで解消可能であるが、セキュリティ的には好ましくない設定変更となるので注意したい。レジストリの変更方法については、「サポート技術情報:892675」や「MS05-001のよく寄せられる質問」を参照していただきたい。
・サポート技術情報 892675(You cannot access HTML Help functionality on some Web sites
after installing security update MS05-001):
http://support.microsoft.com/kb/892675/en-us
http://support.microsoft.com/kb/892675[機械翻訳]
・TechNetセキュリティ情報 MS05-001(よく寄せられる質問):
http://www.microsoft.com/japan/technet/security/bulletin/fq05-001.asp
■脆弱性が修正プログラムで解消されたことを確認
MS05-001の修正プログラムは、2005年1月12日付けのHotFix Weeklyで報告した「Windows XP SP2のHTMLヘルプ機能の脆弱性により、任意のコードが実行される危険性」を解消するものだ。DA
LabでSecuniaが公開した実証コードの実行を試したところ、Windows XP SP2に修正プログラムの適用することで脆弱性が解消されたことを確認した。
・HotFix Weekly 2005/01/12日付(Windowsの複数の脆弱性が実証コードとともに公開):
http://www.hotfix.jp/archives/alert/2005/news05-0112.html#02
■HTMLヘルプの脆弱性を解消するにはMS04-023の修正プログラムの適用も必要
過去に明らかになったHTMLヘルプの脆弱性としては、MS04-023も挙げられる。
・TechNet セキュリティ情報 MS04-023(HTML ヘルプの脆弱性により、コードが実行される):
http://www.microsoft.com/japan/technet/security/bulletin/ms04-023.asp
しかし、今回のMS05-001とは脆弱性の存在するファイルが異なるため、両方とも適用しなければならないので注意が必要だ。
■Windows NT Server 4.0に修正プログラムを適用するのにIE 6.0 SP1が必要な理由
もともとWindows NT 4.0はHTMLヘルプ機能を標準装備していない。多くの場合、IEを更新するとHTMLヘルプも同時にインストールされる。したがって、IEを更新したことがあるWindows
NT 4.0のシステムについては、MS05-001とMS04-023の修正プログラムを適用すべきだ。
しかし2004年末の時点で、IE 6.0 SP1より前のIEは、Windows NT Server 4.0向けとしてはすでにマイクロソフトのサポート対象外である(現在では、Windows
NT 4.0そのものがサポート対象外だが)。そのため、MS05-001の修正プログラムもIE 6.0 SP1しかサポートしていない。特別な理由があってやむを得ずWindows
NT Server 4.0をまだ利用しなければならない場合は、IE 6.0 SP1を適用して修正プログラムを適用すべきだろう。
■Windows NT Workstation 4.0 SP6a/2000 SP2/XP SP未適用向け修正プログラムは提供されない
Windows NT Workstation 4.0 SP6a/2000 SP2は2004年6月30日に、Windows XP SP未適用は2004年9月30日にそれぞれサポート・ライフサイクルが終了したため、MS05-002の修正プログラムは提供されない。Windows
2000 SP2はSP3またはSP4を適用してから、Windows XP SP未適用はSP1aまたはSP2を適用してから、それぞれ対応する修正プログラムを適用する。一方、Windows
NT Workstation 4.0 SP6aについては、脆弱性を解消する手段がないため、OS自体のバージョンアップが必要だ。
なお、Windows NT Server 4.0も2004年12月31日でサポート・ライフサイクルが終了しているが、マイクロソフトによれば修正プログラムの準備がほとんど終了していたため、今回は提供を行ったとしている。しかし今後は提供されなくなる可能性が高いので、やはりOS自体のバージョンアップを検討していただきたい。
■Windows 98/98SE/Me向けの修正プログラムはWindows Updateのみで提供
MS05-001の脆弱性は、最大深刻度が「緊急」となっているため、Windows 98/98SE/Me向けにも修正プログラムが提供されている。ただし、提供はWindows
Updateサイトのみでダウンロード・サイトからはダウンロードできない。企業ユーザーで、Windows 98/98SE/Meを採用したコンピュータが存在する場合は、Windows
Updateの実行を徹底するか、Windows Updateカタログから修正プログラムのパッケージを入手して展開する必要がある。
■MBSA 1.21の結果
MS05-001の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「HTML
ヘルプの脆弱性により、コードが実行される (890175)」が表示される。
|