リモート・コード実行を可能にするなど、万一攻撃された場合は影響が大きいInternet Explorerの脆弱性がセキュリティ情報サイトなどで相次いで報告された。いずれもまだマイクロソフトから修正プログラムが提供されていないものだ。実証コードが公開されているものもあるので、システム管理者は注意が必要だ。

　2004年10月20日、Secuniaは、IE 6 SP2（Windows XP SP2に付属するIE）にドラッグ・アンド・ドロップとセキュリティ・ゾーンの制限にそれぞれ脆弱性が存在することをレポートした。このうち「ドラッグ・アンド・ドロップの脆弱性」は、インターネット・ゾーンのWebページ上に配置されたイメージやメディア・ファイルをローカルにドラッグ・アンド・ドロップする場合の検証が十分ではなく、攻撃用スクリプトがローカル・コンピュータ・ゾーンで実行されてしまうというもの。「セキュリティ・ゾーンの制限の脆弱性」は、HTMLファイルに埋め込んだヘルプ・コントロール機能の悪用により、ユーザーのブラウザ・セッション内で攻撃用スクリプトが実行されてしまうというものだ。

• Microsoft Internet Explorer Two Vulnerabilities［英文］（Secunia）
  

　さらにSecuniaは、2004年11月4日に「IFRAMEバッファオーバーフローの脆弱性」を報告した。こちらは深刻度が最大の“Extremely critical”にされている。IFRAMEタグの処理部分に未チェックバッファがあり、攻撃者によるリモート・コード実行の危険がある。

• Internet Explorer IFRAME Buffer Overflow Vulnerability［英文］（Secunia）
  

　ただしこちらはIE 6 SP2には影響がない。Windows XP SP2をまだ適用せずにIE 6を利用している場合や、Windows 2000でIE 6を利用している場合は影響を受ける。

　これらの脆弱性に対する修正プログラムはまだ提供されていない。スクリプト実行の禁止措置や、（Windows XPユーザーの場合は）Windows XP SP2の適用などを検討するとともに、今後のウイルスやワーム情報に注意する必要があるだろう。

　セキュリティ情報BBSのHotFix Report BBSへの報告によれば、Windows XP SP2を適用後、Webページ内の.CSVファイルへのリンクをクリックし、ファイルのダウンロードを行おうとしても、ダウンロード先を指定するダイアログが表示されず、IEウィンドウでしか表示されなくなるという不具合がある。

• XP SP2適用後にIEでCSVファイルがダウンロード時に保存先指定できない？（HotFix Report BBS）
  

　本来、デフォルトでは、ファイルのリンクをクリックした時点で、そのまま実行するか、ファイルに保存するかを問い合わせるダイアログが表示されなければならない。この処理は、エクスプローラのファイル・オプション（エクスプローラの［ツール］−［フォルダ オプション］から表示されるダイアログの［ファイルの種類］タブで拡張子を選択し、［詳細設定］ボタンをクリックして表示されるダイアログの［ダウンロード後に開くを確認をする］チェック・ボックス）によって動作が規定されるもので、デフォルトでは［ダウンロード後に開くを確認をする］チェック・ボックスはオンになっており、ダイアログが表示される。

　上記の不具合は、拡張子.CSVの［ダウンロード後に開くを確認をする］チェック・ボックスをオンにしていても発生する。この問題を回避するには、.CSVだけでなく、.CSVのオープン用として設定されているアプリケーションのデフォルト拡張子（例えばExcelなら.XLS）に対しても［ダウンロード後に開くを確認をする］チェック・ボックスをオンにする。

　投稿によれば、業務Webアプリケーションを運用しており、データベースの検索結果のデータをCSV形式でクライアントに送信する場合などに問題が発生することがあるという。XP SP2の適用によって.CSVに関連するWebアプリケーションの挙動が変化したという場合には、この問題を疑ってみる必要があるだろう。

　MS04-032（Windowsのセキュリティ更新プログラム）を適用すると、一部の音楽管理ソフトウェアが起動不能になるなどの不具合が発生する。

• Windows XPおよびWindows 2000にセキュリティ更新プログラムMS04-32（840987）を適用すると、Sony OpenMGシステムを使用する音楽プログラムが正常に動作しなくなる（MSKB887811）
  

　マイクロソフトは、この問題を解消する修正プログラムを公開した。MS04-032の適用により障害が発生した場合は、以下より修正プログラムを入手して適用する。

• Windows 2000用更新プログラム（ダウンロード・センター）
• Windows XP用更新プログラム（ダウンロード・センター）
  

　なおWindows XP用の修正プログラムについては、11月3〜4日にかけてWindows UpdateカタログおよびSUS（Software Update Services）に更新版が登録された。ファイル名はWindowsXP-KB887811-v2-X86-JPN.exeである。11月4日の時点でダウンロード・センターには、まだ旧版のWindowsXP-KB887811-X86-JPN.exeのみ登録されたままだが、早晩更新されるだろう。

　MS04-038（IEの累積的なセキュリティ更新プログラム）を適用すると、電子名刺公開用アプリケーションのInterConnect 2004の［連絡先情報］ビューでドラッグ・アンド・ドロップが機能しなくなる不具合が公表された。

・［IC2004］MS04-038適用後、連絡先情報でドラッグ・アンド・ドロップができない（MSKB888952）

　InterConnect 2004では、連絡先情報の一覧から連絡先情報をドラッグ・アンド・ドロップでグループに追加できるが、MS04-038を提供するとこの追加操作が機能しなくなる。

　この不具合を解消する修正プログラムは原稿執筆時点では提供されていない。上記サポート技術情報において、運用での回避方法が紹介されている。

• サポート技術情報 883806（Windows XP SP2 適用後、Outlook Express で折り返し設定が有効にならない）：［Windows XP SP2］

• サポート技術情報 888098（Windows XP SP2 ベースのコンピュータ上の Ntvdmd.dll ファイルのバージョン番号が、Windows XP SP2 ベースの他のコンピュータまたは更新プログラム MS04-032 に含まれる Ntvdmd.dll のバージョン番号より小さい）：［Windows XP SP2］

• サポート技術情報 886988（MS04-028 Enterprise Update Scanning Tool の入手方法および Systems Management Server が使用されていない環境での使用方法）：［Windows NT 4.0 SP6a］［Windows 2000 SP3／SP4］［Windows XP］［Windows Server 2003］

• サポート技術情報 887925（Windows 2000 Serverにてリモート制御終了後、IMEの入力モードが変更できない）：［Windows 2000 Server SP2／SP3］

• サポート技術情報 885920（MS04-028 Enterprise Update Scanning Tool の入手方法および Systems Management Server を使用している環境での使用方法）：［SMS 2003］

• サポート技術情報 888124（カスタマイズされたフォルダに対し XCOPY を行うとフォルダのカスタマイズが無効になる）：［Windows XP］

• サポート技術情報 887741（MS04-038 のセキュリティ更新プログラムをインストールすると、直接 DOM 関数を参照するようにイベント ハンドラを設定した場合に Internet Explorer でコードが実行されない）：［IE 5.01 SP3／SP4］［IE 5.5 SP2］［IE 6 SP1］

• サポート技術情報 888485（マイミュージックフォルダを表示したときに Explorer.exe が突然終了）：［Windows XP］

• サポート技術情報 887676（Windows XP Media Center Edition 2005 でマウスを使用して Gem Master を終了すると、コンピュータが応答を停止し、Ehshell.exe プロセスの CPU 使用率が 100% になる）：［Windows XP Media Center Edition 2005］

• サポート技術情報 810949（最近使ったファイルを参照するとエクスプローラ シェルが応答を停止する）：［SharePoint Portal Server 2001］

• サポート技術情報 820284（Windows Server 2003 の SMTP サービスを使用して送信した電子メールが、特定のドメインに配信されない）：［Windows Server 2003］

• ダウンロード・センター（SqlXml 3.0 Service Pack 3 (SP3)）

• ダウンロード・センター（Windows XP 用重要な更新プログラム (KB887822)）