■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Professional SP3 |
○
|
Windows 2000 Professional SP4 |
○
|
Windows 2000 Server SP4 |
○
|
Windows 2000 Advanced Server SP3 |
○
|
Windows XP Professional SP1 |
○
|
Windows XP Professional SP1a |
○
|
Windows XP Professional SP2 |
○
|
Windows Server 2003, Standard Edition |
○
|
Windows Server 2003, Enterprise Edition |
○
|
■DHTML編集コンポーネントのActiveXコントロールの脆弱性が解消されていることを確認
DA Labでは、Secuniaが公開しているDHTMLのActiveXコントロールの脆弱性に対する実証コードを実行し、修正プログラムの適用によって脆弱性が解消されていることをWindows
2000+IE 6 SP1上で確認した。
・Secunia(Internet Explorer DHTML Edit ActiveX Control Cross-Site Scripting):
http://secunia.com/advisories/13482/
修正プログラムを適用する前の実証コードでは、新たなIEが起動し、アドレス・バーに「https://www.paypal.com/」が表示された状態で、DHTMLによって作成されたWebページが表示された。適用後は、ステータス・バーに「ページでエラーが発生しました」と表示され、新たにIEのウィンドウは開かれなくなった。
■Internet Explorerをバージョンアップすると脆弱性が復活する
MS05-013の修正プログラムを適用した後でInternet Explorerをバージョンアップすると、MS05-013で更新された.DLLファイル(dhtmled.ocx)が古いもので上書きされ、脆弱性が復活してしまうことがある。DA
Labでは、Windows 2000 SP3+IE 5.01 SP3にMS05-013の修正プログラムを適用した後、IE 6 SP1をインストールするとこの現象が発生することを確認した。
dhtmled.ocxが古いバージョンに戻ってしまった場合は、再度MS05-013の修正プログラムを適用し、dhtmled.ocxのバージョンが最新になったことを確認すること。
■Windows NT 4.0 SP6a/2000 SP2/XP SP未適用向け修正プログラムは提供されない
Windows NT Workstation 4.0 SP6a/2000 SP2は2004年6月30日に、Windows XP SP未適用は2004年9月30日にそれぞれサポート・ライフサイクルが終了したため、MS05-013の修正プログラムは提供されない。Windows
2000 SP2はSP3またはSP4を適用してから、Windows XP SP未適用はSP1a/SP2を適用してから、それぞれ対応する修正プログラムを適用する。
また、Windows NT Server 4.0も2004年12月31日でサポート・ライフサイクルが終了しており、MS05-013の修正プログラムは提供されない。Windows
NT 4.0 SP6aについては、脆弱性を解消する手段がないため、OS自体のバージョンアップが必要となる。
■Windows 98/98SE/Me向け修正プログラムはWindows Updateのみで提供
Windows 98/98SE/Meに対するMS05-013の脆弱性は「緊急」に位置付けられており、修正プログラムが提供される。ただしWindows 98/98SE/Me向け修正プログラムはWindows
Updateでのみの提供となっており、ダウンロード・センターからは入手できない。企業内で展開するような場合は、Windows Updateカタログを利用して、修正プログラムを入手する必要がある。
■MBSA 1.21の結果
MS05-013の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「DHTML
編集コンポーネントの Active X コントロールの脆弱性により、リモートでコードが実行される (891781)」が表示される。
|