Exchange Server 5.5のOutlook Web Access（OWA）が新しいメールの作成フォームでHTMLエンコードを実行する方法にクロスサイト・スクリプティング（→ キーワード）の脆弱性が存在する。細工したメッセージをユーザーに送り、それをユーザーがOWAで開くことで、メッセージ内のスクリプトが実行される。第3者へメールが転送されたり、Cookie情報の読み取りが行われたりする情報漏えいや、ユーザーのコンピュータ上でほかのコードが実行されるなどの危険性がある。

　マイクロソフトによれば、MS05-029の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。ただし修正プログラムが公開されたことから、脆弱性を発見したiDEFENSEがこの脆弱性に関するレポートを公開した。レポートには、攻撃コード作成のヒントになる情報も含まれている。この脆弱性を悪用したメール・ウイルスが出現すると、ユーザーが大きな被害を受けるため、Exchange Server 5.5でOWAを有効にしている場合にはなるべく早期に修正プログラムを適用した方がよい。

・iDEFENSE（Microsoft Outlook Web Access Cross-Site Scripting Vulnerability ）：
http://www.idefense.com/application/poi/display?id=261&type=vulnerabilities

■クロスサイト・スクリプティング（cross-site scripting）
　Webサーバ上で動作しているアプリケーションに関するセキュリティ・ホールの1つ。「XSS」と呼ばれることもある。ユーザーの入力などに応じて動的に生成されるWebページにおいて、受け付けた入力データを正しく処理しないことにより、特殊なスクリプト・コードが入力されて、本来は許可されていないような操作が可能になる。このようなセキュリティ・ホールを指して「クロスサイト・スクリプティングの脆弱性」などと呼ぶ。

・セキュリティ用語 クロスサイト・スクリプティング （cross-site scripting）：
http://www.hotfix.jp/archives/word/2003/word03-04.html

　OWAは、Exchangeメール・ボックスに対して、ユーザーがWebブラウザを使用してアクセスすることを可能にするExchangeのサービスだ。ユーザーは、OWAを使用することで、Webブラウザでメールの受信／送信、予定表の管理などが行えるようになる。

　Exchange Server 5.5におけるOWAのクロスサイト・スクリプティングの脆弱性は、MS04-026でも報告されているが、MS05-029の脆弱性は原因が異なる。iDEFENSEのレポートによれば、OWAを利用しているユーザーに対して以下のようにエンコードされた電子メールを送ることで攻撃が可能であるという（このスクリプトでは、「XSS」という警告ダイアログが表示される）。

　このように細工された電子メールをOWAで開くだけで、記述されたスクリプトが実行される。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■修正プログラム適用時にはサービスが停止する
　MS05-029の修正プログラムは、ファイルを更新する直前に関連するサービスを自動的に停止し、ファイルを更新した後に各サービスを再起動する。停止するサービスとしては、IIS AdminとWorld Wide Web Publishing Service、Microsoft Exchange Event Serviceおよびこれらに依存するサービスが確認できた。このほかにマイクロソフトは、停止するサービスとしてMicrosoft Exchange Information StoreとMicrosoft Exchange System Attendantを挙げている。そのため、Exchangeにログオンしているユーザーがいないことを確認してから修正プログラムを適用したい。最悪の場合は、送信中の電子メールが失われたり、予定表の変更が反映されなかったりする可能性がある。

■Exchange Server 5.5 SP3とWindows NT Server 4.0＋Exchange Server 5.5 SP4はサポートされない
　MS05-029の修正プログラムの対象は、Exchange Server 5.5 SP4のみとなっている。Exchange Server 5.5 SP3を利用している場合は、Exchange Server 5.5 SP4をインストールした後、MS05-029の修正プログラムを適用する。もちろん、MS04-026などほかのExchange Server 5.5 SP4用セキュリティ修正プログラムについても、未適用なのであれば適用を検討すべきだ。

　またWindows NT Server 4.0のサポートは終了したため、Windows NT Server 4.0とExchange Server 5.5 SP4の組み合わせに対しても、MS05-029はサポート対象外となっている。Windows NT Server 4.0で利用している場合は、Windows 2000 Serverへの移行が必要になる。

■MBSA 1.21の結果
　MS05-029の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Exchange Serverのセキュリティの更新」の「結果の詳細情報」に、「Exchange Server 5.5 の Outlook Web Access の脆弱性により、クロスサイト スクリプティング攻撃が行われる (895179)」が表示される。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Exchange Server 5.5 SP4：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 5.5\SP5\KB895179\Filelist以下のファイル一覧を確認する

［展開ビュー］−［Exchange］タブに「名前：Exchange5.5-KB895179-x86-jpn.EXE」で登録