セキュリティ・ホールの概要と影響度

　これは、先月のWindows HotFix Briefings ALERTでも触れた、｢Microsoft Internet ExplorerにおけるVMLコード実行の脆弱性を悪用したウイルス｣を解消するための修正プログラムである。10月の月例リリース日を待たずに、9月末にリリースされている。

　Vector Markup Language（VML）は、Webブラウザ上で利用する、XMLベースのベクター・グラフィックスのアドオン機能である。このVMLの処理をするDLLファイルにバッファ・オーバーフローなどの脆弱性が見つかり、すでにこの脆弱性を利用するウイルスも確認されていた。非常に危険性が高いので、速やかに適用した方がよい。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。

適用に関する注意点

■脆弱性の回避策をすでに実施している際の注意
　TechNetセキュリティ情報MS06-055に記されている回避策のうち、vgx.dllのアクセス制御リスト（ACL）の制限を強める、という対策が実施済みの場合、MS06-055の修正プログラムを適用する前にこのACLを戻しておいた方がよい。制限したままだとMS06-055の修正プログラムの適用に失敗する可能性がある。

セキュリティ・ホールの概要と影響度

　.Net Framework 2.0にクロスサイト・スクリプティングの脆弱性が存在する。.Net Framework 2.0がHTTP要求の内容を検証する方法に脆弱性が存在し、WebFormコントロールのAutoPostBackプロパティが「true（デフォルトはfalse）」に設定されていると、細工されたHTTP要求を受け取って、スクリプトが実行されてしまう。これにより悪意のあるスクリプトが実行されてしまう危険性がある。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。

適用に関する注意点

■適用にはWindows Installer 3.1が必要
　MS06-056の修正プログラムを適用するには、事前にWindows Installer 3.1がインストールされている必要がある。

• ダウンロード・センター（Windows Installer 3.1 Redistributable (v2) - 日本語）

■適用に失敗することがある
　以下のサポート技術情報によると、MS06-033と同様、MS06-056の修正プログラムの適用に失敗することがある。適用時にエラー・コード「0x643」が表示された場合は、.NET Framework 2.0を1度アンインストールから再インストールするとよい。また、

• セキュリティ更新プログラム 917283 をインストールするときに、コンピュータが応答を停止するか、エラー コード "0x643" が表示されることがある（サポート技術情報923100）

• Windows Server 2003 を実行しているコンピュータにセキュリティ更新プログラム 917283 をインストールするときに、エラーメッセージ "Error 1324. フォルダ パス 'Program Files' に使用できない文字が含まれています" が表示される（サポート技術情報923101）