2006年4月の月間Microsoft Update第一報?
openmyaMLに投げたやつそのままこぴぺです。そのままだと見難いので見やすいように、修正加えました。
今月のMicrosoft Updateは件数が多いですし、IEの累積周りでは事前に確認を必ず... あと、企業内で配信・導入時には仕様が変更されたコトを必ず告知しましょう〜。 ■MS06-013:Internet Explorer 用の累積的なセキュリティ更新プログラム (912812) (MS06-013) 最大深刻度:緊急 この累積的なセキュリティ更新プログラムに含まれる大きな点 1. マイクロソフト セキュリティ アドバイザリ (917077): HTML のオブジェクトが予期しないメソッド呼び出しを処理する方法の脆弱性により、 リモートでコードが実行される対応 2. Eola特許対策 (1) KB912812に書かれている、MS06-013を適用することによって起こりうる既知の問題*1を事前に確認しておきましょう (2) Internet Explorer の ActiveX 更新プログラムで事前テストしておくべし<社内システム関係ありそうなときは。 Internet Explorer 6 : ActiveX 更新プログラムを見るとイメージしやすいですね<変更箇所 (3) Internet Explorer ActiveX compatibility patch for Mshtml.dllで一時凌ぎという手もありますが、期間限定(60日)です。 ■MS06-014:Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある (911562) (MS06-014) 最大深刻度:緊急 MDACのバージョンを考えると、Microsoft UpdateやWSUS等の環境で更新していない人は結構、厳しげ? 手動的様な場合は、以下の方法で適用前には確認しましょうw ・How to check for MDAC version ■MS06-015:Windows エクスプローラの脆弱性により、リモートでコードが実行される (908531) (MS06-015) 最大深刻度:緊急 ■MS06-016:Outlook Express 用の累積的なセキュリティ更新プログラム (911567) (MS06-016) 最大深刻度:重要 wabファイルの脆弱性なんだぁ...と。 ■MS06-017:Microsoft FrontPage Server Extensions の脆弱性により、クロスサイト スクリプティングが起こる (917627) (MS06-017) 最大深刻度:警告 FrontPage Server Extensions 2002やSharePoint Team Servicesを導入していない企業には無関係か... ■一括版:今回は無し 更新された情報? ■Windows Media Player の脆弱性により、リモートでコードが実行される (911565) (MS06-005) ぅーん、実はダウンロードセンターであがってきてるんですよね。 ダウンロードの詳細 : Windows XP 用 Windows Media Player 10 のセキュリティ更新プログラム (KB911565) とりあえず、解凍してみたら、wmp.dllの10.0.0.4019が含まれてるので、更新されたのかな??? MS06-005見ても、wmp.dllのバージョンが10.0.0.4019な話には触れられて無い気がします。 2006/04/12に更新されたことは書かれているので...間違いないでしょう。たぶん。 ■ダウンロードの詳細 : Windows 悪意のあるソフトウェアの削除ツール Ver. 1.15 で追加された内容を見ようとすると... Security Essentials for Windows XP Service Pack 2 に飛ばされてしまうのがなんだかなぁな感じです(ぉ まだリンク先ないってコト何かなぁとか 3種類追加されているようですね。 てわけで盛りだくさんなので、管理者さんがんばりましょうw
あんまり、見やすく修正できなかったかも(涙
修正前のものを見たい場合は、openmyaMLのアーカイブ参照で。
今月のMicrosoft Update関連でのSecuniaさんへのリンク
- MS06-013 (KB912812):Secunia - Advisories - Internet Explorer Multiple Vulnerabilities
- MS06-014 (KB911562):Secunia - Advisories - Microsoft Data Access Components RDS.Dataspace ActiveX Vulnerability
- MS06-015 (KB908531):Secunia - Advisories - Microsoft Windows Explorer COM Object Handling Vulnerability
- MS06-016 (KB911567):Secunia - Advisories - Outlook Express Windows Address Book File Vulnerability
- MS06-017 (KB917627):Secunia - Advisories - Microsoft FrontPage Server Extensions Cross-Site Scripting
MS06-013 IEの累積的な修正プログラムについてのみ書いてみる。
Internet Explorer 用の累積的なセキュリティ更新プログラム (912812) (MS06-013)はいろいろなセキュリティ的な点が修正されていますが、 一番、使用者的に大きな変更点は、Eola特許対策となるActiveX回りの仕様変更にあります。 では、このパッチを適用すると、どういったことがActiveX周りの処理で起こりうるのか?ということは、 Activating ActiveX Controls:MSDN Library(英文)に書かれていますと、openmyaMLに投げたのですが、 葉っぱ日記を見るとActiveX コントロールのアクティブ化(日本語)へのリンクがあったので、こちらのほうがわかりやすいでしょう。Web ページで ActiveX コントロールの読み込みに APPLET、EMBED、または OBJECT 要素が使用される場合、 コントロールのユーザー インターフェイスはユーザーがアクティブ化するまでブロックされています。よって、『APPLET、EMBED、OBJECT』が含まれるActiveXコントロールが書かれていた場合、 Internet Explorer 6 : ActiveX 更新プログラムのようなダイアログが表示され、 Flash等を表示する際に今まで不要だったワンステップが必要になることがあります。 社内でそういったシステムを運用していない場合は、上述の変更点(画面など)を必ずアナウンスするだけでよいのかもしれませんが、 社内でActiveXを利用していて修正が終わっていない場合は、IE Active X 更新の動作を元の状態に戻す修正プログラム(KB917425)を 適用してやる必要が出てきます。 Microsoft ダウンロード センター検索結果:IE Active X 更新の動作を元の状態に戻す修正プログラム(KB917425) この修正プログラムの詳細などは、Internet Explorer ActiveX compatibility patch for Mshtml.dll(英文)が詳しく書かれています。 ただし、これも、Internet Explorer 用の累積的なセキュリティ更新プログラム (912812) (MS06-013)に書かれていますが、この互換性修正プログラムは 6 月の更新プログラムのサイクルの一部としてリリースされる Internet Explorer 用のセキュリティ更新プログラムが公開されるまで機能し、 公開された時点からは Internet Explorer の ActiveX コントロールを処理する方法は変更されない予定です。ということですので、確認、変更の期限は6月のセキュリティ修正プログラムがリリースされるまでだと言うことを忘れないようにしましょう。ただ、Windows2000に関してリリースされていないので、午前中にもう少し調べて追記します。追記:9:30 まっちゃだいふくさんが書かれていますが、『ちょまてよ!って程修正されています』は、もう仕方ないので当てれってコトで(ぉぃ Mshtml.dllのためのInternet Explorer ActiveX互換性パッチな文書をもう少し読んでみます。 MS06-013で影響を受けるとされているOSは ・Microsoft Windows XP Service Pack 2 (SP2) ・Windows XP Professional x64 Edition ・Microsoft Windows Server 2003 Service Pack 1 (SP1) ・Windows Server 2003, x64-based versions ・Windows Server 2003 with SP1, Itanium-based versions であり、Windows2000SP4に関しては、影響受けないの?と思いそうですが、違います!影響受けますよ(適用中なので動作見てませんが)。 マイクロソフト プロダクト サポート ライフサイクルで確認すると、現在、延長サポートなフェーズにあります。 延長サポートなフェーズの場合、追記:14:30 ぁーやっちまいました、ちゃんと読もう! たぶん...というか、もう一回、アドバイザリや技術情報を読み返してみました。 マイクロソフト セキュリティ アドバイザリ (912945): Internet Explorer 用のセキュリティ以外の更新プログラムをじっくり読むと、プロダクト サポート ライフサイクルより。 ・セキュリティ更新プログラム サポート (無償提供) ・セキュリティ関連以外の修正プログラムの作成を新規にリクエストいただくには、 別途「延長修正プログラム サポート契約」を購入する必要があり修正プログラムごとの価格が適用されます。という記載がありますので、今回リリースされたActiveXコントロールの互換性パッチは『セキュリティ関連以外の修正プログラム』にあたりますので、 今回、リリース対象外となった...ということだと思われます。 Windows 2000 のメインストリーム サポートが終了しました(Microsoft)が詳しいですね。 よって、Internet Explorer 用の累積的なセキュリティ更新プログラム (912812) (MS06-013)でリリースされる修正点に含まれる、 Eola特許周りが対象外なのではなく、Windows2000は延長フェーズの為今回の互換性パッチがリリースされなくて当然...ということです。 動作テストは未だです<Windows2000sp4を現在Windows Update中です。配布の最終段階として、このセキュリティ以外の更新プログラムは、2006 年 4 月 12 日公開のマイクロソフト セキュリティ情報 MS06-013 で提供される更新プログラムに含まれています。 このセキュリティ更新プログラムは Internet Explorer 用のセキュリティ以外の更新プログラム 912945 と置き換わるものです。ということなので... MS06-013はInternet Explorer の ActiveX 更新プログラムに置き換わるものです。 つまり、KB912945が対象としていないOS<Windows2000SP4にはKB912945の変更は含まれないということ... なので、延長フェーズも何もないですやん...orz 故に、Windows2000SP4はActiveX周りの変更に影響受けません ということのようです(涙 深読みかなぁ...そう、解釈しちゃいました。 追記:16:30 というわけで、はせがわさんがテストを行ってくださいましたw 多謝。[openmya:033841] Re: Windows2000はActiveX な特許の影響を受けない?(Was: 2006年4月の月間Micoroso ft Updateより 『ということで、テストしました。 Windows 2000 SP4 フルパッチでは、 ActiveX の扱いは 従来どおりで変更ありませんでした』とのことで、Windows2000SP4はActiveXコントロールの仕様変更に伴う影響を受けないそうです。
もちょっとの修正などは昼休みかなぁ...
4 月のセキュリティリリース:日本のセキュリティチームのblog
まっちゃさんが更新されてたことを教えてくださっていたので、チェックw今月の Internet Explorer の更新 (MS06-013) には、 KB 912945 で言及していた ActiveXに関するセキュリティ以外の変更点が含まれています。 この変更による影響を含め、既知の問題について、セキュリティ情報の警告欄 と KB 912812 を必ず確認することをお勧めします。とのことで、小野寺さんもMS06-013の適用に関しては『まず確認を』と仰っていますね。 ただし、http://d.hatena.ne.jp/hanazukin/20060412#1144798917にも書きましたが、Windows2000に関しては、延長フェーズのため、 ここで書かれている『ActiveX に関する変更点を一時的に無効化する Compatibility Patch (互換性修正プログラム) 』はリリース対象外ですので、 要注意です。