■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
プラットフォーム
|
Windows 2000 Professional SP3+Outlook 2002 SP2 |
○
|
Windows 2000 Professional SP3+Visio 2002 SP2 |
○
|
Windows 2000 Professional SP4+Office XP Standard SP3 |
○
|
Windows 2000 Server SP4+Office XP Personal SP3 |
○
|
Windows 2000 Advanced Server SP3+Office XP Personal ボリュームライセンス版 SP2 |
○
|
Windows XP SP1a+Office XP Standard SP2 |
○
|
Windows XP SP1a+Outlook 2002 SP3 |
○
|
Windows XP SP2+Office XP Professional ボリュームライセンス版 SP3 |
○
|
Windows Server 2003, Standard Edition+Office XP Professional with FrontPage
SP3 |
○
|
Windows Server 2003, Standard Edition+Outlook 2002 SP3 |
○
|
Windows Server 2003, Enterprise Edition+Office XP Standard ボリュームライセンス版 SP2 |
○
|
■Office 2003をインストールしているとietag.dllが更新されない不具合
Office XPに加え、Office 2003をインストールしている場合、IETAG.DLLがMS05-005の修正プログラムでは更新できない。これはOffice
XPとOffice 2003の両方が、共通のIETAG.DLLを利用するために生じる問題だ。Office 2003を一度でもインストールしている場合は、IETAG.DLLのバージョンが10.x.xxxxから11.x.xxxxに上がり、Office
2003をアンインストールしても、IETAG.DLLは削除されたり、元のバージョンに戻ったりしない。そのため、ファイルのバージョンがMS05-005の修正プログラムの置き換え対象とはならなくなっている。
Office 2003をアンインストールしている場合は、IETAG.DLLのファイル名をIETAG.OLDなどに変更し、Office XPの修復機能を実行すればよい。IETAG.DLLがOffice
XPのバージョンに戻るはずだ。その後、MS05-005の修正プログラムを適用すること。
Office 2003をインストールしたままの場合、マイクロソフトは「サポート技術情報:885828」で提供されているOffice 2003 用の修正プログラムの適用を勧めている。これによりIETAG.DLLはバージョン11.0.6404.0に更新される。ただし、セキュリティの修正については特に何も記されておらず、サポート技術情報:885828の適用でMS05-005の脆弱性が解消されるのかはっきりしない。
・サポート技術情報 885828(Office 2003 の更新の説明:2005年2月8日):
http://support.microsoft.com/default.aspx?scid=kb;ja;885828
■Visio 2002向けにはMS04-028の修正プログラムも含まれる
TechNetセキュリティ情報には記載されていないが、MS05-005のVisio 2002向け修正プログラムには、MS04-028(JPEG処理の脆弱性)が含まれている。DA
LabでMS04-028の修正プログラムが未適用のVisio 2002にMS05-005の修正プログラムを適用したところ、gdiplus.dllが更新され、MS04-028の脆弱性も同時に解消された。MS04-028の脆弱性は、Project
2002も対象となっているが、なぜかMS05-005のProject 2002向け修正プログラムにはMS04-028が含まれていない。
・TechNetセキュリティ情報 MS04-028(JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される):
http://www.microsoft.com/japan/technet/security/bulletin/MS04-028.mspx
・HotFix Alert MS04-028(JPEG処理のバッファ・オーバーランの脆弱性により、リモートで任意のコードが実行される危険性):
http://www.hotfix.jp/archives/alert/2004/ms04-028.html
■Word 2002/PowerPoint 2002以外のOffice XPアプリケーションの不具合も解消される
MS05-005のOffice XP用修正プログラムで解消される脆弱性は、Word 2002とPowerPoint 2002だけに存在する。しかし、そのほかのOffice
XPアプリケーション(Outlook 2002やExcel 2002など)にも、この修正プログラムは適用できる。「サポート技術情報:873352」によれば、この修正プログラムはOutlook
2002やPowerPoint 2002などにある不具合も解消するとのことだ。
・サポート技術情報 873352(MS05-005: Microsoft Office XP の脆弱性は、リモート コードの実行を許容しました。):
http://support.microsoft.com/default.aspx?scid=kb;ja;885828
Word 2002/PowerPoint 2002を含まないOffice XPアプリケーションを利用している場合でも、この修正プログラムの適用を検討した方がよい。また、Word
2002/PowerPoint 2002以外の単体版Office XPアプリケーションを併用している場合、この修正プログラムを適用している最中に、単体版のインストールCDも必要になることがあるので注意すること。
■MBSA 1.21の結果
MS05-005の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Officeのアップデート」の「結果の詳細情報」に、「Microsoft
Office XP の脆弱性により、リモートでコードが実行される (KB873352)」「Project 2002 セキュリティ更新プログラム (KB873355)」「Visio
2002 セキュリティ更新プログラム (KB873354)」のいずれかが表示される。ただし、Office製品はMBSAをローカルで実行した場合のみ検出可能である。
|