マイクロソフトは、Internet Explorer 6がActiveXコントロールを呼び出す際にメッセージを表示するように変更する修正プログラムを2006年3月1日に公開した。

• Internet Explorer の ActiveX 更新プログラム（MSKB 912945）
• Internet Explorer 用のセキュリティ以外の更新プログラム（マイクロソフト セキュリティ アドバイザリ）

　この修正プログラムは脆弱性や不具合の修正ではない。一説によれば、これは特許侵害の訴訟対策を目的としたもので、ユーザーにとっては慌てて適用する必要性は小さいと思われる。

　公開されたのは累積的な修正プログラムであり、MS05-054の修正内容を含む。そのため、この修正プログラムを適用すれば、MS05-054を適用する必要はない。Windows OSの自動更新では、この修正プログラムはインストールされないが、Windows Update／Microsoft Updateでは提供される（ただし明示的にインストールを指示する必要がある）。

　この修正プログラムを適用すると、例えば以下のような一般的なActiveXコントロールの呼び出しを行うWebサイトを閲覧する際に、「このコントロールをアクティブ化して使用するにはクリックしてください」というメッセージが表示される。

• Adobe Reader
• QuickTime Player
• Flash Player
• Windows Media Player
• RealPlayer
• Sun Java VM

　また、修正プログラムを適用することにより、以下のような不具合が発生する。

• Googleツール・バーVer.3.0.129.2未満をインストールしている場合には、アクティブでないActiveXコントロールを含むウィンドウを閉じると、Googleツール・バーのアクセス違反が発生する。

• Internet Explorerで［スクリプトのデバッグを使用しない］が無効になっている（スクリプトのデバッグを使用する）場合、外部スクリプトが機能しない。

• Java Platform Standard Edition（J2SE） 1.3／1.4を使用して、アプレット・コントロールを実行するプログラムの中のActiveXアプレット・コントロールを1度クリックしても、フォーカスがアプレット・コントロールに移動しない。この問題はJ2SE 1.5では発生しない。

　これらはマイクロソフトが報告した既知の不具合だが、ほかにも発生する可能性がある。例えば業務アプリケーションで独自のActiveXコントロールを使用している場合などが考えられる。

　この修正プログラムを適用したコンピュータをMicrosoft Baseline Security Analyzer（MBSA）1.2でスキャンすると、MS05-049／054の修正プログラムを正しく検出できなくなる。MBSA 1.2はセキュリティ修正以外の更新プログラムをサポートしないため、必要のない修正プログラムの適用が必要、という内容の報告を続けるようになる。また、MBSA 1.2を使うSystems Management Server（SMS）2.0でも、この修正プログラムを適用すると正しく機能しないので、マイクロソフトはSMS 2.0で管理されているコンピュータに対してはこの修正プログラムの適用を推奨していない（SMS 2003では問題が発生しない）。

　次のInternet Explorerの累積的な修正プログラムでは、この修正プログラムが包含される予定なので、前述したとおり、適用を急ぐ必要はないだろう。管理者はこの修正プログラムを利用して、事前に十分な検証を行ったほうがよい。

■HotFix Report BBS関連スレッド

• ActiveX の処理を変更する IE の累積修正プログラム (KB912945)

　Peter Vreugdenhil氏は、Macromedia Shockwave PlayerのActiveXを用いたインストーラにバッファ・オーバーフローの脆弱性が存在すると報告した。

• Adobe Macromedia ShockWave Code Execution［英語］（3Com）

　Macromedia（現Adobe Systemsの一部門）は、2006年2月23日にShockwave Playerのインストーラを修正し、脆弱性を解消したと報告した。

• Improper Memory Access Vulnerability in Shockwave Player ActiveX installer［英語］（Adobe Systems）

　Shockwave Playerは、Macromedia Directorで作成したムービーやゲームなどのコンテンツを再生するためのプログラムである。Shockwave PlayerはActiveXコントロールを利用してインストールされる。今回報告されたのは、細工した非常に長い変数をこのインストーラに与えるとバッファ・オーバーフローが起こり、任意のコードが実行されるという脆弱性である。

　脆弱性はShockwave Playerではなく、Shockwave Playerのインストーラに存在する。そのため、現在Shockwave Playerをインストール済みのユーザーは、脆弱性の影響を受けないので、特に再インストールを行う必要はない。新たにAdobe SystemsのサイトからShockwave Playerをインストールする場合には、すでにインストーラの脆弱性が解消されているため攻撃を受ける心配はない。だが、Adobe Systems以外のサイトからインストールを開始する場合は、たとえ真正なデジタル署名がされていても、脆弱性のあるインストーラである可能性がある。今後Shockwave PlayerのインストールはAdobe Systemsのサイトか、信頼できるサイトからのみ行うようすべきだろう。

• Shockwave Player Download Center

■HotFix Report BBS関連スレッド

• Macromedia ShockWave Player ActiveXコントロール用インストーラにバッファオーバーフローの脆弱性

［マイクロソフト]

• Internet Explorer で Office ファイルを開いてから [戻る] ボタンをクリックすると操作できなくなる（MSKB 915346）

• Outlook 2003 において修正プログラムのインストール後に既定のメール クライアントが変更される（MSKB 915349）

• 移動ユーザー プロファイルは Windows XP または Windows Server 2003 ベースのクライアントの EFS ファイルが格納される場合、読み込めなかったり、またはアンロードできません［機械翻訳］（MSKB 911805）

• ディスク クリーンアップ ツールを実行した後に、正常に Office 2003 プログラムの更新のインストールは完了できません［機械翻訳］（MSKB 914907）

• クライアント コンピュータが列挙の使用を終了できる前に、 Windows Management Instrumentation 列挙が取り消されます［機械翻訳］（MSKB 913538）

• Windows 2000 Service Pack 4-based サーバー クラスタのロールアップを更新します（MSKB 885912）

• FAT32 形式の DVD-RAM メディアを取り出した後 DVD ドライブの取り外しが失敗することがあります（MSKB 915920）

• コンピュータがスタンバイに入ろうとすると、 Windows XP ベースのコンピュータは、応答を停止します［機械翻訳］（MSKB 914028）

• FIX: Windows Server 2003 または Windows XP を実行しているコンピュータからの WMI イベントを登録するために、Windows Management Instrumentation ( WMI )クエリを使用する場合、エラー メッセージ:「 0x80041032」と「 0x80041003」［機械翻訳］（MSKB 902346）

• Windows XP でのエラー メッセージ:「MShome にアクセスできません」［機械翻訳］（MSKB 913619）

• 配色パターンの電源オプションは Windows XP ベースのコンピュータで使用できません［機械翻訳］（MSKB 913622）

• Windows XP ベースのコンピュータでのフォルダを共有しようとすると、エラー メッセージ: セキュリティ対策として、「 Windows がこのコンピュータへのリモート アクセスを無効にしました」［機械翻訳］（MSKB 913621）

• ユーザーが「全員へ返信」をクリックすると、 Exchange Server 2003 で返信を目的の受信者が何も表示しません［機械翻訳］（MSKB 900719）

• プログラムが Dhtmled.ocx コントロールの可視プロパティを変更すると、正常に Dhtmled.ocx ActiveX コントロールは機能しません。（MSKB 906216）

• Cumulative Security Update for Internet Explorer［英語］ （マイクロソフト セキュリティ情報 MS05-054）

• Windows Media Player 10 に特定の更新プログラムを適用した後にシーク、巻き戻し、または早送りを行うと、問題が発生することがある（MSKB 912226）

• Vulnerability in the Korean Input Method Editor Could Allow Elevation of Privilege［英語］（マイクロソフト セキュリティ情報 MS06-009）