マイクロソフトは、2004年10月13日にリリースしたMS04-037の修正プログラムがMS04-024を含んでいないと情報を修正した(MS04-024とMS04-037はいずれもWindowsシェルの脆弱性)。リリース当初、MS04-037の修正プログラムはMS04-024の修正プログラムを含むとしていた。そのため、MS04-037の修正プログラムを適用すれば、MS04-024の修正プログラムの適用は不要なはずであった。しかし今回の修正により、MS04-024とMS04-037の両修正プログラムの適用が必要なことが明らかになった。
DA LabでMS04-037とMS04-024の置き換わるファイルを確認したところ、MS04-037にはMS04-024が完全に含まれていた。そこで、修正プログラムで設定されるレジストリ値を調べたところ、MS04-024のWindows
2000/Windows XP SP1/Windows Server 2003向けでは、以下のレジストリの「shell(DWORD値)」に「0」が設定されたが、MS04-037ではこの設定が含まれていなかった。なお調査した限り、Windows
NT Server 4.0 SP6a、Windows NT Server 4.0 Terminal Server Edition, SP6、Windows
XP SP未適用向けにはMS04-024/MS04-037ともに、このレジストリは設定されないようだ(Windows NT Server 4.0 SP6aとWindows
NT Server 4.0 Terminal Server Edition, SP6向けのMS04-037の修正プログラムは、MS04-024を含んでいると思われるが、その点についてTechNetセキュリティ情報には記載がない)。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\ProtocolDefaults |
もしMS04-024の修正プログラムを適用していない場合は、至急、適用を行った方がよい。Windows NT Server 4.0 SP6aとWindows
NT Server 4.0 Terminal Server Edition, SP6向けを除いて、MS04-037の適用後、MS04-024の修正プログラムを適用しても問題はない。なおWindows
NT Server 4.0 SP6aとWindows NT Server 4.0 Terminal Server Edition, SP6向けでは、Active
Desktop環境で利用している場合、MS04-037を適用するとMS04-024の修正プログラムが適用できなくなる(非Active Desktop環境は問題なく適用できる)。そのため、Active
Desktop環境では、MS04-037をアンインストールしてからMS04-024、MS04-037の順番に修正プログラムを再適用する必要がある点に注意していただきたい。
・HotFix Alert MS04-037(Windowsシェル機能などの未チェック・バッファの脆弱性により、コンピュータの制御が完全に奪われてしまう危険性):
http://www.hotfix.jp/archives/alert/2004/ms04-037.html
・HotFix Alert MS04-024(Windowsシェルの脆弱性により、リモートで任意のコードが実行される危険性):
http://www.hotfix.jp/archives/alert/2004/ms04-024.html
|