Windows HotFix Briefings
(2004年8月12日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2004/08/12

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点、不具合などの情報を隔週でまとめてお届けします。

月例セキュリティ修正プログラム(MS04-026)が公開

 マイクロソフトは、セキュリティ修正プログラムの月例公開日である8月11日、Exchange Server 5.5のOutlook Web Accessコンポーネントに重要レベルの脆弱性が存在することを発表し、修正プログラムを公開した。詳細は以下のマイクロソフト・セキュリティ情報を参照。追ってHotFix Briefings ALERTでもレポートする予定である。

[新着SP情報]
Windows XP SP2日本語版(最終版)の公開が開始

情報の内容

Windows XP Service Pack 2の公開
情報ソース マイクロソフト
報告日 2004/08/11
対象環境 Windows XP SP0、SP1、SP1a

 米国版が公開され、日本語版の登場が待たれていたWindows XP Service Pack 2(以下XP SP2)であるが、日本語版がMSDNサブスクライバー・ダウンロード・サイトにアップロードされていることが確認された。MSDNサブスクライバー・ダウンロードは、有料登録者のみがアクセス可能なサイトで、一般ユーザーはまだ入手できないが、順次、誰でもアクセス可能なダウンロード・センターに登録されるものと思われる。特に日本語版に関する情報はないが、米国版と同様の公開ステップを踏むことになるだろう。XP SP2の米国でのリリース・スケジュールについては関連記事を参照されたい。米国版スケジュールは次のとおりであった(表中の日付は米国版のもので、米国時間なので注意すること)。

公開日 内容
8月6日(金) RTM(製造工程版)
8月9日(月) Microsoft Download Centerに登録(ネットワーク・インストール版)
8月9日(月) MSDNサブクライバ・サイトへの登録(CD用ISO イメージ)
8月10日(火) 自動更新(Automatic Updates)への登録(XP SP2 RC版インストール済み環境向け)
8月16日(月) 自動更新(Automatic Updates)への登録(XP SP2 RC版をインストールしていない環境向け)
8月16日(月) Software Update Services向けリリース
Windows XP SP2米国版のリリース・スケジュール

XP SP2がいよいよ登場(Insider's Eye)

 MSDNダウンロードに登録されたのは、ISO 9660 CD-ROMイメージ・フォーマットのファイル(約490Mbytes)で、ドキュメント類や.NET Framework、(開発者向けの)デバッグ用シンボル・ファイル、更新されたサポート・ツールなどの追加ソフトウェアをすべて含むXP SP2のインストールCDを作ることができる。このCDは、将来(有償もしくは雑誌の付録などとして)配布されるCD-ROMと同じものと思われる。このCDのうち、XP SP2の実体(XPSP2.EXEファイル。ネットワーク・インストールではこのファイルが配布されることになると思われる)は、273Mbytesである。

 関連記事でも解説されているとおり、XP SP2では、セキュリティ機能が大幅に強化される代償として、既存アプリケーションの利用に影響を及ぼすリスクが小さくない。すでに米国のWebメディアなどで、安易な適用に注意を喚起する記事などが公開されている。全社展開を実施する前に、業務アプリケーションなど既存ソフトウェアとの互換性を十分にテストする必要がある。

 ネットワーク管理者として注意すべきは、自動更新への登録が開始されるタイミングだ。自動更新は、最新の修正プログラムを自動的にダウンロードして適用する機能である。適用まで自動的に実行されるようになるにはユーザーの明示的な許可が必要だが、XP SP2では、SP2のインストール処理の最後で簡単に許可できるようになった。自動更新でインストールまでを許可している場合、マイクロソフトが自動更新機能向けに公開しているサーバにXP SP2をアップロードすると、そのまま適用と再起動まで自動実行されてしまう。自動更新を各クライアントに許可している場合には注意が必要だ。XP SP2では、IEのユーザー・インターフェイスも変更されているので、「何もしていないのにデスクトップの見掛けが変わった」「挙動が変わった」「業務アプリケーションが正しく動かなくなった」などの問い合わせがある日突然発生したときには、XP SP2の自動更新を疑ってみる必要がある。

Windows XP SP2日本語版RTMのバージョン情報
ビルド番号の後ろに付いている040803-2158は、2004年8月3日 21:58の意味らしい。分刻みの管理が必要だったということだろうか…。
 
[不具合情報]
Office 2003 SP1適用による不具合

情報の内容 Office 2003 SP1の適用による不具合
情報ソース マイクロソフト
報告日
対象環境 Office 2003 SP1

 7月30日版のHotFix Briefingsで紹介したOffice 2003 SP1であるが、複数の不具合情報が公開されている。中には致命的なものも含まれるので、適用にあたっては注意が必要である。

■Office 2003 SP1適用で一部の修正プログラムが無効化される
 Office 2003 SP1には含まれていない過去の修正プログラムがあり、すでにこれらの修正を適用済みであっても、SP1を適用すると修正が無効化されてしまう問題がある。

 この影響を受けるパッケージは、以下の3つである。

Office2003-kb839647-jpn.exe
Office2003-kb842783-jpn.exe
Project2003-kb841361-fullfile.exe

 このうちOffice2003-kb842783-jpn.exeは、以下に詳細な情報がある。

 これはかなり致命的な問題を修正するためのパッチである。上記解説ページによれば、具体的には以下の不具合を解消するという。

  • IME 2003をOffice 2003で利用し、ひらがなを入力するとハングアップしたり突然シャットダウンしたりする。
  • ワークステーションをアンロックするためにCTRL+ALT+DELを押すと言語ツールバーが表示され、ユーザー名を選択するとシステムエラーが発生してシステムがシャットダウンする。

 どちらもシステムのハングアップなどを含む致命的な問題である。Office 2003 SP1の適用により、対策したはずのこれらの問題が、再発する可能性がある。

■IME 2003をSP1レベルに更新した場合には再起動が必要
 日本語かな漢字変換プログラムとしてOffice 2003に付属するIME 2003をSP1レベルに更新した場合には、必ず再起動を行う必要がある。再起動しないでログオフ/ログオンを繰り返すと、コンピュータが応答しなくなる場合があるという。SP1更新後、1度でもコンピュータを再起動すれば、この問題は発生しない。

 
[不具合情報]
MS04-025適用でIEがスクリプト・エラー

情報の内容 MS04-025の適用による不具合
情報ソース マイクロソフト
報告日 2004/08/03
対象環境 IE 5.x/IE 6.0

 マイクロソフトは、IE 5.x/IE 6.0向けとして公開されたMS04-025/867801(攻撃者によるリモート・コード実行を可能にするIEの緊急レベルの脆弱性を適用すると、IEのクロスドメイン・セキュリティ・モデルが拡張され、これによって一部のスクリプト・コードなどがエラーを起こす可能性があることを公表した。

 ネット掲示板などでは、この問題が原因と思われる障害報告もいくつかレポートされている。上記サポート技術情報によれば、「Internet Explorerベースのコードがこの変更の影響を受ける場合は、製品が受けるセキュリティ上の影響を考慮したうえで、これらの影響を回避するためのコードの変更をお勧めします」とある。つまり今回の拡張は仕様であり障害が起こる場合には、問題を起こすスクリプト側で対応すべしということだ。

 Webベースのアプリケーションなどが影響を受ける可能性が高い。MS04-025の修正を提供後、アプリケーションの挙動がおかしくなったときには、この問題を疑う必要があるだろう。

 
そのほかの不具合情報、追加情報
 
 Windows HotFix Briefings

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH