セキュリティ・ホールの概要と影響度

　MS06-021の修正プログラムは、メモリ破壊が起こる脆弱性など、Internet Explorer（IE）に存在する8種類の脆弱性を解消する。この修正プログラムはMS06-013の修正を含む。またセキュリティ修正に加え、ActiveXコントロールの挙動を変更するMSKB 912945の修正内容を含むので、ActiveXコントロールを利用した業務アプリケーションの挙動が変わる可能性があり、注意が必要だ。

HotFix ALERT（2006年4月18日版） HotFix Briefings（2006年4月14日版） HotFix Briefings（2006年3月31日版） HotFix Briefings（2006年3月10日版）

　MS06-021の修正プログラムにより解消される脆弱性は、CVE-2006-2218／CVE-2006-2382／CVE-2006-2383／CVE-2006-1303／CVE-2005-4089／CVE-2006-2384／CVE-2006-2385／CVE-2006-1626の8件である。このうち、<OBJECT>タグを大量に入れ子構造にするとメモリ破損が起こる脆弱性（CVE-2006-2218）や、細工された文書をCSSと誤認識して解釈する脆弱性（CVE-2005-4089）、.swfファイル（Flashコンテンツ）をロードする前後で異なるURLのページを開かせるとアドレス・バーを偽装できる脆弱性（CVE-2006-1626）は、詳細な技術情報だけでなく実証コードが公開されている。これらの脆弱性により、IEを異常終了させられたり、任意のコードが実行されたり、フィッシング・サイトに誘導されたりする危険性があるので、早急に修正プログラムを適用する必要がある。

　また、Windows XP SP2およびWindows Server 2003 SP1にMS06-021の修正プログラムを適用すると、ActiveXコントロールを呼び出す際の処理が変更される（関連記事参照）。この変更により、従来ではWebページに埋め込まれたFlashコンテンツなどで、ユーザーが1度クリックしないと機能しないようになる。これはMS06-013の修正プログラムにも含まれる仕様変更だが、MS06-013に対して上記変更を無効にする互換性修正プログラムが提供されていた。

• Mshtml.dll に関する Internet Explorer ActiveX 互換性修正プログラム（MSKB 917425）

　MS06-021の修正プログラムを適用することにより、MSKB 917425で従来どおりのActiveXコントロールの挙動に戻していた環境でも、ユーザーによる1クリックが必要となり、MSKB 917425の効果が失われる。そして、今回は互換性修正プログラムが提供されず、この仕様変更は元に戻せない。

　ただし、ActiveXコントロールの呼び出し方法を変更することにより、FlashコンテンツなどをWebページに埋め込んでも、従来どおりの挙動で動作させることが可能となる。Webページの記述方法などについては、以下の情報を参照していただきたい。

• ActiveX コントロールのアクティブ化（マイクロソフト）
• アクティブコンテンツのアップデートに関する記事（アドビ・システムズ）

　MS06-021の修正プログラムを適用すると、ActiveXコントロールの仕様変更以外にもいくつかの仕様変更が適用される。まず、JScriptを利用したWebアプリケーションなどが動作しなくなる可能性がある。これはJScriptの脆弱性をIEから排除するように仕様が修正されたためである。次に、AOLで使われるART形式の画像をIEがサポートしなくなる。

　また、MS06-021の修正プログラムを適用すると、MS06-013を適用した際と同様、以下のような不具合が発生することが報告されている。これら既知の不具合が業務に影響を及ぼさないよう、修正プログラムを展開する前に検証した方がよいだろう。

• Windows Media High Definition Video DVD（HD DVD）で再生できないチャプタが生じる。

• ActiveXコントロールがIEに正常に読み込まれないことがある。

• 独自のActiveXコントロールを含むWebページが、IEで正常に読み込まれないことがある。

• IEでモニカ（Moniker）が使用できなくなる。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。また、MS06-021の修正プログラムの適用にあたっては、ロールアップ修正プログラムが自動判別で適用される。

セキュリティ・ホールの概要と影響度

　MS06-022の修正プログラムは、ART形式と呼ばれる画像の処理に存在する脆弱性を解消する。ART形式とは、ISPであるAOLのクライアント・アプリケーションで使われる独自形式の画像フォーマットである。

　Windows XPおよびWindows Server 2003には、このART画像を処理してレンダリングするためのライブラリがデフォルトでインストールされており、Internet Explorer（IE）でもART形式の画像の表示が可能である。Windows 2000はデフォルトではART形式の画像をサポートしないが、マイクロソフトが提供している「Windows 2000 AOL Image Support Update」をインストールすることにより表示できるようになる。このためWindows 2000では、「Windows 2000 AOL Image Support Update」をインストールした環境で、MS06-022の脆弱性の影響を受ける。

• Windows 2000 AOL Image Support Update［英語］（マイクロソフト）

　MS06-021を適用するとIEでのART形式画像の表示が不可能となるが、MS06-022の修正プログラムはMS06-021の修正プログラムと併せて適用する方がよい。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。