ART形式の画像を処理する方法に脆弱性が存在し、リモートで任意のコードが実行される危険性がある。細工されたART形式の画像を含むHTML形式の電子メールやWebページを開くと、攻撃が実行される。最悪の場合、コンピュータの制御が完全に奪われる可能性がある。

　マイクロソフトによれば、MS06-022の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。しかしこの脆弱性は、アドウェアやスパイウェアのインストール、電子メール添付型ウイルスに悪用される危険性が高い。また画像掲示板などを悪用した攻撃が実行されることも懸念される。

　Windows XPとWindows Server 2003では、ART形式をサポートするライブラリが標準で含まれていることから攻撃を受ける危険性がある。至急、修正プログラムを適用した方がよい。

　ART形式は、インターネット・サービス・プロバイダの「America Online（AOL）」が提供しているクライアント・ソフトウェアで利用されている独自の圧縮画像フォーマットである。AOLを利用している場合、初期設定で「圧縮された画像」を表示するように設定されており、画像はART形式に変換される。このART形式の画像を表示する処理に未チェック・バッファの脆弱性が存在する。細工されたART形式の画像を表示すると、脆弱性が悪用され、画像に含まれるコードが実行される。

　Windows XPとWindows Server 2003では、ART形式をサポートするライブラリが標準で含まれており、Internet Explorer（IE）でもART形式の画像が表示可能となっている。一方、Windows 2000はART形式の画像をサポートしておらず、Microsoftが提供している「AOL Image Support Update」をインストールした場合にのみART形式の画像が表示可能になる。そのため、Windows XPとWindows Server 2003はデフォルトで脆弱性の影響を受けるが、Windows 2000はAOL Image Support Updateがインストールされている場合のみ脆弱性の対象となる。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■MBSA 2.0の結果
　MS06-022の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に以下のいずれかが表示される。

• Internet Explorer 5.01 Service Pack 4 用セキュリティ更新プログラム (KB918439)
• Internet Explorer 6 Service Pack 1 用セキュリティ更新プログラム (KB918439)
• Windows XP 用セキュリティ更新プログラム (KB918439)
• Windows Server 2003 用セキュリティ更新プログラム (KB918439)

■Windows 2000はAOL Image Support Updateがインストールされている場合のみ脆弱性の影響を受ける
　Windows 2000はデフォルトでART形式の画像に対応しておらず、脆弱性の影響を受けない。しかしAOL Image Support Updateをインストールしている場合、ART形式の画像に対応し、脆弱性の影響を受けることになる。

　MS06-022のWindows 2000向け修正プログラムは、IEのバージョンによって適用するパッケージが異なるので注意が必要だ。Microsoft Updateの表示も、「Internet Explorer 5.01 Service Pack 4 用セキュリティ更新プログラム」または「Internet Explorer 6 Service Pack 1 用セキュリティ更新プログラム」とIE向けの修正プログラムとなっているので、修正プログラムを選択する際には見落とさないように注意した方がよい。

■AOL Image Support Updateのインストールを確認する方法
　Windows 2000にAOL Image Support Updateをインストールすると、以下のレジストリ・キーが作成される。

　このキーにある値Installedのデータが1の場合、AOL Image Support Updateはインストール済みと判断できる。

　ただ、より確実にこの脆弱性を解消したいなら、%SystemRoot%\system32フォルダのjgdw400.dllとjgpl400.dllというファイルの有無を確認した方がよいだろう。MS06-022の修正プログラムがこれらのファイルを更新するからだ。もし、これらのファイルが存在していたら、MS06-022の修正プログラムを適用すればよい。

■MS06-022はMS06-021と併せて適用することが推奨されている
　MS06-021の修正プログラムを適用すると、IEではART形式の画像が表示されなくなる。これは、ART形式の画像表示による脆弱性の影響を、IEで排除するために仕様が修正されたことによる。MS06-022の脆弱性を解消するには、MS06-021とMS06-022を併せて適用することが推奨されている。

■Windows 98／98SE／Me＋IE 6 SP1向け修正プログラムはWindows Updateのみで提供
　Windows 98／98SE／Meに対するMS06-022の脆弱性は「緊急」に位置付けられており、修正プログラムが提供されている。ただしWindows 98／98SE／Me＋Internet Explorer 6 SP1向け修正プログラムは、Windows Updateでのみで提供されており、ダウンロード・センターからは入手できない。企業内で展開するような場合は、Windows Updateカタログを利用して、修正プログラムを入手する必要がある。

■Windows Me＋IE 5.5 SP2に対する修正プログラムの提供は終了
　Windows MeのIE 5.5 SP2に対するサポートは、2005年12月31日で終了している。そのため、IE 5.5 SP2向けのMS06-022の修正プログラムは提供されない。Windows Me＋IE 5.5 SP2を利用している場合は、IE 6 SP1へアップグレードした後、MS06-022の修正プログラムを適用する必要がある。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows 2000 SP4＋AOL Image Support Update＋IE 5.01 SP4：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 5.01\SP4\KB918439-IE501SP4-20060530.181133\Filelist以下のファイル一覧を確認する

・Windows 2000 SP4＋AOL Image Support Update＋IE 6 SP1、Windows XP SP1／SP1a：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 6\SP1\KB918439-IE6SP1-20060530.145346\Filelist以下のファイル一覧を確認する

・Windows XP SP2：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB918439\Filelist以下のファイル一覧を確認する

・Windows Server 2003 SP未適用／SP1：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB918439\Filelist以下のファイル一覧を確認する

・Windows 2000 SP4＋AOL Image Support Update＋IE 5.01 SP4：
［展開ビュー］−［IE］タブに「名前：IE5.01sp4-KB918439-Windows2000sp4-x86-JPN.exe」で登録

・Windows 2000 SP4＋AOL Image Support Update＋IE 6 SP1、Windows XP SP1／SP1a：
［展開ビュー］−［IE］タブに「名前：IE6.0sp1-KB918439-Windows-2000-XP-x86-JPN.exe」で登録

・Windows XP SP2：
［展開ビュー］−［IE］タブに「名前：WindowsXP-KB918439-x86-JPN.exe」で登録

・Windows Server 2003 SP未適用／SP1：
［展開ビュー］−［IE］タブに「名前：WindowsServer2003-KB918439-x86-JPN.exe」で登録