NetWare用クライアント・サービス（CSNW）に未チェック・バッファの脆弱性が存在し、リモートで任意のコードが実行される危険性がある。細工されたネットワーク・メッセージを受信すると、この脆弱性が悪用され、最悪の場合、コンピュータの制御が完全に奪われてしまう。

　ただし脆弱性の影響を受けるのは、CSNWが有効になっている場合に限られる（デフィルトでは無効になっている）。NetWareによるファイル／プリンタ共有を行っている場合には、CSNWが有効になっている可能性が高い。

　マイクロソフトによれば、MS05-046の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。ただし、修正プログラムが公開されたことから、詳細な報告書や実証コードが公開される可能性もある。最近では実証コードが公開されると、数日内に悪用される傾向にあるので警戒が必要だ。攻撃が開始される前に修正プログラムを適用した方がよい。

　CSNWは、NetWareのファイルや印刷、ディレクトリ・サービスを利用できるようにするサービスである。マイクロソフトとNovellの両社からCSNWが提供されているが、脆弱性が存在するのは、マイクロソフト製のもののみである。

　MS05-046の脆弱性は、CSNWが有効になっていることが攻撃を受ける条件であるため、NetWareが広く普及しなかった日本では影響を受けるユーザーは限定的であると思われる。しかしインターネットからのリモートによる攻撃を受ける可能性があり、ウイルスやワームなどに悪用されることが懸念される脆弱性だけに、CSNWを有効にしている環境では最大限の注意が必要だ。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■CSNWを有効にしなくても修正プログラムを適用した方がよい
　CSNWは、Windows 2000／XP／Server 2003のいずれにおいても標準では有効になっていない。そのため、CSNWを手動で有効にしない限り、MS05-046の脆弱性の影響は受けない。しかし脆弱性の原因となっているファイル「nwwks.dll」は、OSにデフォルトでインストールされているため、何らかの理由によって有効化された際に脆弱性の影響を受けないように予防策として、修正プログラムを適用しておいた方がよい。

　実際、Microsoft UpdateはCSNWを無効にしたコンピュータであっても、MS05-046の修正プログラムを適用するように表示する（2005年10月14日時点）。

■CSNWがインストールされているかどうか確認する方法
　CSNWが不要なら削除したほうがよいことは言うまでもない。CSNWがインストールされているかどうかを確認するには、Windowsのネットワーク・アダプタのプロパティを開き、［全般］タブでリストアップされているクライアント／サービス／プロトコルの一覧を調べる。ここで「NetWare 用クライアント サービス」あるいは「NetWare 用ゲートウェイ (とクライアント) サービス」という項目が表示されていれば、CSNWがインストール済みである。

■Windows XP SP2とWindows Server 2003 SP1では［プログラムの追加と削除］で表示形式が日付順になる修正ツールが実行される
　Windows XP SP2とWindows Server 2003 SP1では、update.exe 6.1を使用してビルドされた修正プログラムが、コントロール・パネルの［プログラムの追加と削除］で日付順に並ばないという不具合がある。これは、 update.exe 6.1を使用してビルドされたパッケージのレジストリ・キーに、「Installed On」属性がないことに起因する。

　MS05-049の修正プログラムは、Windows XP SP2またはWindows Server 2003 SP1で実行されると、この不具合を解消する「arpidfix.exe」を実行し、［プログラムの追加と削除］の表示項目表示が日付順に並ぶように「Installed On」属性を付加する。arpidfix.exeは、修正プログラムの実行時のみ使用される。

・サポート技術情報 904630（Arpidfix.exe ツールについて）：
http://support.microsoft.com/default.aspx?scid=kb;ja;904630

■MBSA 2.0の結果
　修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「Windows ｛2000／XP／Server 2003｝ 用セキュリティ更新プログラム (KB899589)」が表示される。参考までにMBSA 1.21では「Windowsのセキュリティの更新」に「Netware 用クライアント サービスの脆弱性により、リモートでコードが実行される (899589)」が表示される。

・Windows 2000 SP4：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB899589\Filelist以下のファイル一覧を確認する

・Windows Server 2003 SP未適用／SP1：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB899589\Filelist以下のファイル一覧を確認する

・Windows 2000 SP4：
［展開ビュー］−［OS］タブに「名前：Windows2000-KB899589-x86-JPN.EXE」で登録

・Windows XP SP1／SP1a／SP2：
［展開ビュー］−［OS］タブに「名前：WindowsXP-KB899589-x86-JPN.exe」で登録

・Windows Server 2003 SP未適用／SP1：
UpdateEXPERT 5.1：サポート対象外
UpdateEXPERT 6.1：［展開ビュー］−［OS］タブに「名前：WindowsServer2003-KB899589-x86-JPN.exe」で登録