Microsoftは、ISA Server 2000が過大なネットワーク・トラフィックを受信すると、ファイアウォール機能が異常終了する可能性があることを報告した。これにより、攻撃者によるDoS攻撃を可能にしてしまう。

・サポート技術情報 894864（The ISA Firewall service may unexpectedly quit when ISA Server 2000 experiences heavy network traffic）：
http://support.microsoft.com/default.aspx?scid=kb;en;894864

　すでにマイクロソフト・プロダクト・サポート・サービスから、この不具合を解消する修正プログラムが提供されている。ISA Server 2000を利用している場合は、回避策はなく、攻撃を受ける危険があるので、マイクロソフト・プロダクト・サポート・サービスに連絡して、修正プログラムを入手した方がよい。

関連HotFix Report BBS関連スレッド：
・ISA Server 2000のSecureNAT処理にDoSを可能にする脆弱性
http://bbs.hotfix.jp/ShowPost.aspx?PostID=3161

　brainsoftは、Mozilla／Firefoxにフレーム内に異なるサイトのページが表示可能となる脆弱性があることを報告した。この脆弱性は、2004/07/07日付けHotFix Weeklyで既報のとおり、Internet Explorerなど多くのブラウザで脆弱性が確認されたものだ。その後、Mozilla 1.6／Firefox 0.8ではこの脆弱性が解消されていたが、Mozilla 1.7.x／Firefox 1.xで再発してしまったようだ。

・Secunia（Mozilla / Mozilla Firefox Frame Injection Vulnerability）：
http://secunia.com/advisories/15601/

・HotFix Weekly 2004/07/07日付け（Internet Explorerのフレーム内に異なるサイトのページが表示可能となる脆弱性）：
http://www.hotfix.jp/archives/alert/2004/news04-0707.html#02

　Secuniaでは、この脆弱性を確認するための「Multiple Browsers Frame Injection Vulnerability Test」というWebページを用意している。Webページの指示に従って、2つのURLリンクをクリックすることで脆弱性の有無を確認可能だ。MSDNライブラリのフレームの中にSecuniaのページが表示された場合、脆弱性が存在することになる。

・Secunia（Multiple Browsers Frame Injection Vulnerability Test）：
http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/

　このようにフレームを使ったWebページの中に、任意のWebサイトのページが表示可能となるため、個人情報やクレジット番号などを不正に取得するフィッシングに悪用される危険性が高い。なお前述のようにInternet Explorer 6 SP1も同じ脆弱性が指摘されていたが、現時点でも修正プログラムは提供されていない。すべての修正プログラムを適用した状態でも、この脆弱性が存在するので、Mozilla／Firefoxと同様、フレームを利用したWebページでは注意が必要になる。

関連HotFix Report BBS関連スレッド：
・Firefoxで、7年前のフレーム・インジェクションの脆弱性が復活
http://bbs.hotfix.jp/ShowPost.aspx?PostID=3168

　マイクロソフトは、修正プログラムの展開ソフトウェア「Windows Server Update Services（WSUS）」の提供を開始した。WSUS自体は無償で提供されるが、稼働させるにはWindows 2000 Server SP4またはWindows Server 2003が必要になる（既存のこれらの環境にインストールすることも可能）。

　WSUSを利用することで、Microsoft Update（Windows UpdateやOffice Updateの後継）で提供された修正プログラムを、ネットワーク内のWindows 2000／XP／Server 2003に対して配布することができる。管理者は、適用可能な修正プログラムの中から個別に選択してクライアントに配布できるため、検証の結果、障害が発生したものを除外するといった制御が可能だ。

・マイクロソフト（Windows Server Update Services 製品概要）：
http://www.microsoft.com/japan/windowsserversystem/
updateservices/evaluation/overview.mspx

　WSUSは、Windows UpdateとOffice Updateの両方の修正プログラムが配布可能になったほか、修正プログラムのターゲットに特定のコンピュータやグループを指定できるようになるなど、多くの機能強化が行われている。現在、SUSを利用して修正プログラムの配布を行っている場合は、WSUSへのアップグレードを検討しよう。なおWSUSのダウンロードには、マイクロソフトのパスポート認証と住所／氏名などの登録が必要となる。

・マイクロソフト（Windows Server Update Services のダウンロード）：
http://www.microsoft.com/japan/windowsserversystem/
updateservices/downloads/WSUS.mspx

関連HotFix Report BBS関連スレッド：
・Re: Microsoftの新パッチ管理ツールに関し、2つの進展
http://bbs.hotfix.jp/ShowPost.aspx?PostID=3165#3165