Last modified: Thu Jul 17 14:37:57 2003 +0900 (JST)
このページはもはや維持されていません。 Windows 2000 / XP については、つづきが Microsoft Windows 2000 / XP / Server 2003 セキュリティ対応状況 にあります。
ユーザ/管理者の手間、という観点でまとめてあるので、次のようになっています。
○ 標準で対応
△ patch (修正プログラム) で対応
× patch (修正プログラム) がまだない
△ については、詳細情報あるいは patch を入手できるページへのリンクを張ってありますので、そちらでご確認ください。 なお、このページの内容は無保証です。
原則として日本語版 Windows NT 4.0 / 2000 の話です。 IIS 4.0 (NT Option Pack) / 5.0 および Media Service 4.1 の話を含みます (NT 4.0 は Media Service 標準非塔載ですので N/A とします)。 なお、IE についてはここではなく MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照してください。 Windows 2000 SP2 は標準で IE 5.01 SP2 です。 Windows XP は標準で IE 6 です。
関連ページ:
hotfix に関する備忘録 (port139)
関連サービスパックおよび対応モジュール (Windows 2000 ServicePack 2 をインストール済みのお客様はこちらをご利用ください) (Microsoft)
Post Windows NT 4.0 SP6a セキュリティロールアップパッケージ (SRP)
関連情報: Post-Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP)、 日本語版「セキュリティ ロールアップ パッケージ (SRP) 」がいよいよ登場 決定版! NT 4.0 SP6a 適用後に必要なセキュリティ・パッチ一覧 (SRP編)。 簡単に言うと、SP6a + SRP + MS99-013 + MS01-022 + MS01-043 以降、 とすれば、OS/Option Pack patch については全て適用されるようだ。 (MS01-041 から MS01-043 に修正: 山下さん情報ありがとうございます)
JP315683: Windows 2000 Security Rollup Package 1 (SRP1), January 2002, Release Notes
マイクロソフトのドキュメントから探るWindows 2000 SP3日本語版 (日経 IT Pro)
Windows XP SP1の完成度を英文ドキュメントで探る 、 Windows XP SP1の完成度を英文ドキュメントで探る (日経 IT Pro)
| No. | 内容 | NT 4.0 SP6 / IIS 4.0 | Win 2000 SP3 / IIS 5.0 / Media Service 4.1 | XP SP1 / IIS 5.1 / Media for XP | 特記事項 |
|---|---|---|---|---|---|
| MS03-022 | Windows Media サービスの ISAPI エクステンションの問題により、コードが実行される (822343) | ○ | △ | ○ | Windows 2000 SP5 で fix。 |
| MS03-020 | Internet Explorer 用の累積的な修正プログラム (818529) | [1] | [1] | [1] | [1] MSIE 5.01 / 5.5 / 6 セキュリティ対応状況 を参照。Windows 2000 SP4 / XP SP2 / Server 2003 SP1 で fix。 |
| MS03-019 | Windows Media サービスの ISAPI エクステンションの問題により、サービス拒否が起こる (817772) | △ | △ | ○ | Windows Media Services 4.1 をインストールしている場合にのみ問題となる。 Windows 2000 SP5 で fix。 |
| MS03-018 | Internet Information Services 用の累積的な修正プログラム (811114) | △ | △ | △ | あらかじめ MS02-050 patch をインストールしておく必要がある。 |
| MS03-017 | Windows Media Player スキンダウンロードの問題により、コードが実行される (817787) | [1] | [1] | △ [1] | [1] Media Player 7.1 をインストールしている場合には問題が生じる。 Media Player 6.4 以前、あるいは 9 をインストールしている場合には問題はない。 |
| MS03-015 | Internet Explorer 用の累積的な修正プログラム (813489) | [1] | [1] | [1] | [1] MSIE 5.01 / 5.5 / 6 セキュリティ対応状況 を参照 |
| MS03-014 | Outlook Express 用の累積的な修正プログラム (330994) | [1] | [1] | [1] | [1] MSIE 5.01 / 5.5 / 6 セキュリティ対応状況 を参照 |
| MS03-013 | Windows カーネルメッセージ処理のバッファオーバーランにより、権限が昇格する (811493) | △ | △ | △ | |
| MS03-011 | Microsoft VM の問題により、システムが侵害される (816093) | [1] | [1] | [1] | [1] Microsoft Java VM についてを参照。 |
| MS03-010 | RPC エンドポイントマッパーの問題により、サービス拒否の攻撃が実行される (331953) | × | △ | △ |
Windows NT 4.0 用 patch は永遠にリリースされない。
patch をインストールすると ASP/COM+ アプリケーションでトラブルになる場合があるので注意: 814119 (英語版) 参照。 |
| MS03-008 | Windows スクリプトエンジンの問題により、コードが実行される (814078) | △ | △ | △ |
Windows 2000 SP4 には、WSH 5.1 用の修正は含まれているが、
WSH 5.5 / 5.6 用の修正は含まれていない。
Windows 2000 で IE 5.5 以上を導入している場合は WSH 5.5 / 5.6 になっている。 Windows XP SP2 で fix 予定。 |
| MS03-007 | Windows コンポーネントの未チェックのバッファによりサーバーが侵害される (815021) | △ | △ | △ | Windows 2000 用の修正は MS03-013 に含まれている。MS03-007 patch をインストールすると、一部のバージョンのカーネルではトラブルになるので注意。 MS03-013 にはこの問題はない 。 |
| MS03-005 | Windows リダイレクタの未チェックのバッファにより権限が昇格する (810577) | ○ | ○ | △ | |
| MS03-004 | Internet Explorer 用の累積的な修正プログラム (810847) | [1] | [1] | [1] | [1] MSIE 5.01 / 5.5 / 6 セキュリティ対応状況 を参照 |
| MS03-001 | Locator Service の未チェックのバッファにより、コードが実行される (810833) | △ | △ | △ | |
| MS02-072 | Windows Shell の未チェックのバッファによりシステムが侵害される (329390) | ○ | ○ | △ | |
| MS02-071 | Windows WM_TIMER メッセージ処理の問題により、権限が昇格する (328310) | △ | △ | △ | |
| MS02-070 | SMB 署名の問題により、グループポリシーが変更される (329170) | ○ | △ | △ | |
| MS02-069 | Microsoft VM の問題により、システムが侵害される (810030) | [1] | [1] | [1] | [1] Microsoft Java VM についてを参照。 |
| MS02-068 | Internet Explorer 用の累積的な修正プログラム (324929) | ○ | [1] | [1] | [1] MSIE 5.01 / 5.5 / 6 セキュリティ対応状況 を参照 |
| MS02-066 | Internet Explorer 用の累積的な修正プログラム (328970) | [1] | [1] | [1] | [1] MSIE 5.01 / 5.5 / 6 セキュリティ対応状況 を参照 |
| MS02-065 | Microsoft Data Access Components のバッファオーバーランにより、コードが実行される (329414) | △ | △ | ○ | MDAC 2.7 以降をインストールしてあれば問題ない。MDAC 2.1〜2.6 への patch には問題があるので、 MDAC 2.7 以降のインストールが望ましい。 MSIE 5.01 / 5.5 / 6 セキュリティ対応状況 や こちら も参照。 |
| MS02-064 | Windows 2000 の既定のアクセス権により、トロイの木馬プログラムが実行される (Q327522) | ○ | △ | ○ | |
| MS02-063 | PPTP サービスの未チェックのバッファにより、サービス拒否の攻撃を受ける (Q329834) | ○ | △ | △ | |
| MS02-062 | Internet Information Service 用の累積的な修正プログラム (Q327696) (IIS) | △ | △ | △ | |
| MS02-060 | Windows XP 「ヘルプとサポートセンター」の問題によりファイルが削除される (Q328940) | ○ | ○ | ○ | |
| MS02-058 | Outlook Express の S/MIME 解析の未チェックのバッファによりシステムが侵害される (Q328676) | [1] | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS02-055 | Windows ヘルプ機能の未チェックのバッファにより、コードが実行される (Q323255) | △ | △ | △ | |
| MS02-054 | ファイル展開機能に含まれる未チェックのバッファにより、コードが実行される (Q329048) | ○ | ○ | △ | |
| MS02-053 | Smart HTML インタープリタでバッファオーバーランによりコードが実行される (Q324096) (IIS) | ○ | △ | △ | FPSE 2000/2002 をインストールしていた場合は、NT 4.0 も問題になる。 |
| MS02-052 | Microsoft VM JDBC クラスの問題により、コードが実行される (Q329077) | [1] | [1] | [1] | Microsoft Java VM についてを参照。 |
| MS02-051 | RDP プロトコルの暗号の問題により、情報が漏えいされる (Q324380) | ○ | △ | ○ | Windows XP SP1 には修正が含まれている |
| MS02-050 | 証明書確認の問題により、ID が偽装される (Q328145) | △ | △ | △ | |
| MS02-048 | Certificate Enrollment Control の問題により、デジタル証明書が削除される (Q323172) | △ | △ | ○ | |
| MS02-047 | Internet Explorer 用の累積的な修正プログラム (Q323759) | [1] | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS02-045 | ネットワーク共有プロバイダの未チェックのバッファにより、サービス拒否が起こる (Q326830) | △ | △ | ○ | |
| MS02-042 | 接続マネージャの問題により、権限が昇格する (Q326886) | ○ | △ | ○ | Windows 2000 SP4 に含まれる。 |
| MS02-008 | XMLHTTP コントロールにより、ローカルファイルにアクセスすることができる | [1] | [1] | [1] |
[1]
IE 6 を利用している場合は
MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況
も参照 Windows XP SP1 には MSXML 2.6/3.0 用 fix が含まれているが 4.0 用 fix は含まれていない、という。4.0 用 fix が必要な場合は MS02-008 個別 patch を適用すること。 |
| MS01-022 | WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う | △ | △ | ○ |
| No. | 内容 | NT 4.0 SP6 / IIS 4.0 | Win 2000 SP2 / IIS 5.0 / Media Service 4.1 | XP / IIS 5.1 / Media for XP | 特記事項 |
|---|---|---|---|---|---|
| MS02-052 | Microsoft VM JDBC クラスの問題により、コードが実行される (Q329077) | [1] | [1] | [1] | Microsoft Java VM についてを参照。 |
| MS02-051 | RDP プロトコルの暗号の問題により、情報が漏えいされる (Q324380) | ○ | △ | △ | Windows XP SP1 に含まれる |
| MS02-050 | 証明書確認の問題により、ID が偽装される (Q328145) | △ | △ | △ | |
| MS02-048 | Certificate Enrollment Control の問題により、デジタル証明書が削除される (Q323172) | △ | △ | △ | |
| MS02-047 | Internet Explorer 用の累積的な修正プログラム (Q323759) | [1] | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS02-045 | ネットワーク共有プロバイダの未チェックのバッファにより、サービス拒否が起こる (Q326830) | △ | △ | △ | |
| MS02-042 | 接続マネージャの問題により、権限が昇格する (Q326886) | ○ | △ | ○ | Windows 2000 SP4 に含まれる。 |
| MS02-032 | 2002 年 6 月 26 日 Windows Media Player 用の累積的な修正プログラム (Q320920) | ○ | △ | △ | |
| MS02-029 | リモート アクセス サービスの電話帳の未チェックのバッファによりコードが実行される (Q318138) | △ | △ | △ | |
| MS02-028 | HTR のチャンクされたエンコードのヒープ オーバーランにより Web サーバーのセキュリティが侵害される (Q321599) (IIS) | △ | △ | ○ | |
| MS02-027 | Gopher プロトコルハンドラの未チェックのバッファにより、攻撃者の任意のコードが実行される (Q323889) | [1] | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS02-024 | Windows Debugger の認証問題により、アクセス権が昇格する (Q320206) | △ | △ | ○ | |
| MS02-023 | 2002年5月15日 Internet Explorer 用の累積的な修正プログラム (Q321232) | [1] | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS02-022 | MSN チャットコントロールの未チェックのバッファによりコードが実行される (Q321661) | [1] | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS02-018 | Internet Information Services 用の累積的な修正プログラム (Q319733) | △ | △ | △ | |
| MS02-017 | Q311967: Multiple UNC Provider の未チェックのバッファによりコードが実行される | △ | △ | △ | |
| MS02-016 | Q318593 : 読み取り専用アクセスのグループポリシーファイルを開くと、ポリシーの適用が妨害される | ○ | △ | ○ | |
| MS02-015 | 2002年3月28日 Internet Explorer 用の累積的な修正プログラム | [1] | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS02-014 | Windows Shell の未チェックのバッファにより、コードが実行される | △ | △ | ○ | |
| MS02-013 | Java アプレットがブラウザトラフィックをリダイレクトする | [1] | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS02-012 | 不正なデータ送信リクエストにより Windows SMTP サービスが異常終了する | ○ | △ | △ | |
| MS02-011 | 認証問題により、承認されていないユーザーが SMTP サービスに認証することができる | ○ | △ | ○ | |
| MS02-009 | Internet Explorer の不正な VBScript 処理により Web ページがローカルファイルを読み取る | [1] | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS02-008 | XMLHTTP コントロールにより、ローカルファイルにアクセスすることができる | [1] | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS02-006 | SNMP サービスに含まれる未チェックのバッファにより、任意のコードが実行される | △ | △ | △ | |
| MS02-005 | 2002 年 2 月 11 日 Internet Explorer の累積的な修正プログラム | [1] | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS02-004 | Telnet Server に含まれる未チェックのバッファにより、任意のコードが実行される | N/A | △ | ○ | |
| MS02-001 | 信頼するドメインが認証データ内の SID (セキュリティ ID) のドメイン メンバシップを確認しない | ○ | △ | ○ | |
| MS01-060 | SQL Server テキストフォーマット機能が未チェックのバッファを含む | △ | △ | △ | C ランタイム fix は OS への patch。 |
| MS01-059 | ユニバーサル プラグ アンド プレイに含まれる未チェックのバッファによりシステムが侵害される | ○ | ○ | △ | Windows XP, Me, 98, 98SE に影響。 |
| MS01-058 | 2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム | [1] | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS01-056 | Windows Media Player の .ASF ファイル処理に、未チェックのバッファが含まれる | N/A | △ | △ | MS01-042, MS01-029, MS00-090 を含む。 |
| MS01-055 | Internet Explorer の Cookie データが、スクリプトを介し漏えいまたは変更される | [1] | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS01-054 | 無効なユニバーサルプラグアンドプレイのリクエストがシステムのオペレーションを妨害する | ○ | ○ | △ |
| No. | 内容 | NT 4.0 SP6 / IIS 4 | Win 2000 SP2 / IIS 5 / Media Service 4.1 | 特記事項 |
|---|---|---|---|---|
| MS01-052 | Invalid RDP Data can Cause Terminal Service Failure | △ (TSE のみ) | △ | Terminal Service の弱点 |
| MS01-051 | 不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS01-048 | RPC Endpoint Mapper への不正なリクエストにより、RPC サービスが異常終了する | △ | ○ | |
| MS01-046 | Windows 2000 赤外線デバイスドライバでのアクセス違反により、システムが再起動する | N/A | △ | |
| MS01-044 | 2001 年 8 月 15 日 IIS 用の累積的な修正プログラム | △ | △ | MS01-033, MS01-026 を含む。 |
| MS01-043 | Windows NT 4.0 および Windows 2000 の NNTP サービスでメモリ リークが発生する | △ | △ | |
| MS01-042 | Windows Media Player .NSC ファイル処理に未チェックのバッファが含まれる | N/A | △ | Windows 2000 SP3 で fix |
| MS01-041 | 不正な RPC リクエストがサービスを異常終了させる | △ | △ | Windows 2000 SP3 で fix |
| MS01-040 | 無効な RDP データの受信により、ターミナル サービスでメモリ リークが発生する場合がある | △ | △ | Windows 2000 SP3 で fix |
| MS01-037 | SMTP サービスの認証エラーがメールの中継を可能にする | ○ | △ | Windows 2000 SP3 で fix。 |
| MS01-036 | LDAP SSL で公開される機能がパスワードの変更を可能にする | ○ | △ | MS01-024、 MS01-011 を含む。 Windows 2000 SP3 で fix。 |
| MS01-033 | Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される (IIS) | △ | △ | Windows 2000 SP3 で fix。 |
| MS01-031 | 推測可能な名前付きパイプが Telnet 経由でアクセス権の昇格を可能にする | ○ | △ | SP3 で fix。 MS00-050 を含む。 |
| MS01-029 | Windows Media Player .ASX プロセッサが未チェックのバッファを含む | N/A | △ | Media Player 7.1 で fix。 MS00-090 fix を含む。 |
| MS01-027 | Web サーバー証明書検証の問題により Web サイトの偽装が可能になる | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS01-026 | 不要なデコーディング操作により IIS でコマンドが実行される (IIS) | △ | △ |
NT 4.0 SP7 / Windows 2000 SP3 で fix。
IIS4:
MS99-003,
MS99-019,
MS99-022,
MS99-029,
MS99-039,
MS99-053,
MS99-058,
MS99-061,
MS00-018,
MS00-019,
MS00-023,
MS00-030,
MS00-031,
MS00-044,
MS00-057,
MS00-060,
MS00-063,
MS00-078,
MS00-080,
MS00-086,
MS00-100,
MS01-004 を含む。
IIS 5: MS00-019, MS00-023, MS00-030, MS00-031, MS00-044, MS00-057, MS00-058, MS00-060, MS00-078, MS00-080, MS00-086, MS00-100, MS01-004, MS01-014, MS01-016, MS01-023 を含む。 |
| MS01-025 | Index Server の検索機能が未チェックのバッファを含む (IIS) | △ (buffer overrun, Malformed Hit-Highlighting) | △ | MS00-006 patch を含む。 NT 4.0 SP7 / Windows 2000 SP3 で fix。 |
| MS01-024 | ドメインコントローラへの不正なリクエストがメモリを使い果たす | ○ | △ | MS01-011 を含む。 MS01-036 に含まれる。 Windows 2000 SP3 で fix。 |
| MS01-023 | ISAPI エクステンションの未チェックのバッファにより IIS 5.0 Server のセキュリティが侵害される (IIS) | ○ | ○ | MS01-026 に含まれる。 |
| MS01-022 | WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う | △ | △ | |
| MS01-020 | 不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS01-017 | VeriSign 発行の誤ったデジタル証明書による、なりすましの危険性 | [1] | [1] | MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS01-016 | 不正な WebDAV リクエストにより IIS が CPU リソースを使い果たす (IIS) | ○ | ○ | MS01-026 に含まれる。 |
| MS01-015 | IE can Divulge Location of Cached Content | [1] | [1] | MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS01-014 | 不正な URL により IIS 5.0 及び Exchange 2000 のサービスにエラーが発生する (IIS) | ○ | △ |
Exchange 2000 を運用している場合、IIS 5 用と Exchange 用の両方の
patch を適用する必要がある。Exchange patch はまだ。
Windows 2000 SP3 で fix。 MS01-026 に含まれる。 |
| MS01-013 | Windows 2000 イベントビューアが問題のあるバッファを含む | ○ | ○ | Windows 2000 SP3 で fix。 |
| MS01-012 | Outlook と Outlook Express の vCard ハンドラが問題のあるバッファを含む | [1] | [1] | MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS01-011 | ドメインコントローラへの無効なリクエストがサービス拒否を発生させる | ○ | △ | MS01-036 に含まれる。 Windows 2000 SP3 で fix |
| MS01-009 | 「無効な PPTP Packet Stream」の脆弱性 | △ (TSE 用は×) | ○ | |
| MS01-008 | 「NTLMSSP のアクセス権の昇格」の脆弱性 | △[1] | ○ | [1] TSE 用はまだ。 |
| MS01-007 | 「Network DDE Agent 要求」の脆弱性 | ○ | △ (x86, NEC) | Windows 2000 SP3 で fix |
| MS01-006 | 「無効な RDP データ」の脆弱性 | ○ | ○ | |
| MS01-005 | 「英語版修正プログラムの問題」 | ○ | ○ | 問題があるのは英語版 Windows 2000 だけ |
| MS01-004 | 「.HTR 経由のファイルフラグメントの読み取り」の新種の脆弱性 (IIS) | △ | △ |
IIS 5.0 allows viewing files using %3F+.htr
の話。
.HTR へのスクリプトマッピングを削除すれば回避できる。
MS00-031
や
MS00-044
に類似。
NT 4.0 SP7, Windows 2000 SP3 で fix。 MS01-026 に含まれる。 |
| MS01-003 | 「Winsock Mutex」の脆弱性 | △ (TSE 用) | ○ | |
| MS01-001 | 「Web クライアントのNTLM 認証」の脆弱性 | [1] | ○ | [1] IE 5.0 以上をインストールしており、かつ web フォルダを利用している場合に脆弱。 IE への個別 patch は今のところ存在しない。 |
| MS00-100 | 「無効なWeb フォームの提出」の脆弱性 (IIS) | △ | ○ |
FrontPage Server Extension を利用している場合のみ脆弱。
IIS 4 patch は IIS 4 + FPSE 2000 用。 MS01-026 に含まれる。 |
| MS00-099 | 「ディレクトリサービス復元モードのパスワード」の脆弱性 | N/A | ○ | |
| MS00-098 | 「インデックスサービスファイル列挙」の脆弱性 (IIS) | × [1] | ○ |
Microsoft Indexing Services for Windows 2000 File
Verification Vulnerability
の fix。
BUGTRAQ bugid 1933。
[1] NT Option Pack から Index Server をインストールしている場合のみ。 Index Server 2.0 (NT Option Pack) 用の patch は永遠にリリースされない。 |
| MS00-097 | 「Windows Media サーバーに対する接続の切断」の脆弱性 | N/A | ○ | |
| MS00-096 | 「SNMP パラメータ」の脆弱性 | ○ | ○ | |
| MS00-095 | 「レジストリのアクセス権」の脆弱性 | △ [1] | ○ | [1] まだ日本語版が存在しないが、英語版を問題なく利用できるはず。 |
| MS00-094 | 「電話帳サービスバッファオーバーフロー」の脆弱性 | △ | ○ | |
| MS00-093 | 「印刷テンプレート」と「フォームによるファイルアップロード」の脆弱性に対する対策 | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-091 | 「不完全な TCP/IP パケット」の脆弱性 | △ | ○ | The NAPTHA DoS vulnerabilities の話。 |
| MS00-090 | 「.ASX バッファ オーバーラン」と「.WMS スクリプト 実行」の脆弱性 (Media Player) | N/A | ○ | |
| MS00-089 | 「ドメイン アカウント ロックアウト」の脆弱性 | ○ | ○ | |
| MS00-087 | 「ターミナルサーバーへのログオンで発生するバッファオーバーフロー」の脆弱性 | △ [1] | ○ | [1] 弱点があるのは TSE 版のみ |
| MS00-086 | 「Web サーバーによるファイル要求の解析」の脆弱性 (IIS) | △ | ○ | MS01-026 に含まれる。 |
| MS00-085 | 「ActiveX におけるパラメータ照合」の脆弱性 | ○ | ○ | |
| MS00-084 | 「インデックス サービスのクロスサイト スクリプティング」の脆弱性 (IIS) | △ | ○ | |
| MS00-083 | 「Netmon のプロトコル解析」の脆弱性 | △ | ○ | |
| MS00-081 | 「VM のファイルの読み取り」の脆弱性 | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-080 | 「セッション ID クッキーのマーキング」の脆弱性 (IIS) | △ | ○ | MS01-026 に含まれる。 |
| MS00-079 | 「ハイパーターミナルのバッファ オーバーフロー」の脆弱性に対する対策 | ○ | △ | 2001/05/24 に再リリースされている。 Windows 2000 SP3 で fix。 |
| MS00-078 | 「Web サーバーフォルダへの侵入」の脆弱性 (IIS) | △ | ○ | MS01-026 に含まれる。 |
| MS00-077 | 「NetMeeting リモート デスクトップ共有」の脆弱性に対する対策 | N/A[1] | △ (x86, NEC) | [1] 標準では含まれないが、Windows NT 4.0 対応の fix 版が用意される予定。 |
| MS00-076 | 「キャッシュされた Web アカウント情報」の脆弱性 | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-075 | "Microsoft VM ActiveX Component" Vulnerability | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-070 | Multiple LPC and LPC Ports Vulnerabilities | △ | ○ | |
| MS00-069 | "Simplified Chinese IME State Recognition" Vulnerability | ○ | ○ | |
| MS00-067 | "Windows 2000 Telnet Client NTLM Authentication" Vulnerability | ○ | ○ | |
| MS00-066 | "Malformed RPC Packet" Vulnerability | ○ | ○ | |
| MS00-065 | "Still Image Service Privilege Escalation" Vulnerability | ○ | ○ | |
| MS00-064 | "Unicast Service Race Condition" Vulnerability | N/A | ○ | |
| MS00-063 | 「無効な URL」の脆弱性 (IIS) | △ | ○ | |
| MS00-062 | "Local Security Policy Corruption" Vulnerability | ○ | ○ | |
| MS00-060 | 「IIS クロスサイトスクリプティング」に対する脆弱性 (IIS) | △ (Alpha 用は×) | ○ |
2000.11.02 に patch が改訂されている。 MS01-026 に含まれる。 |
| MS00-059 | "Java VM Applet" 脆弱性 | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-058 | "Specialized Header" Vulnerability (IIS) | ○ | ○ |
類似: MS00-019 MS01-026 に含まれる。 |
| MS00-057 | "File Permission Canonicalization" Vulnerability (IIS) | △ | ○ | MS01-026 に含まれる。 |
| MS00-055 | "Scriptlet Rendering" 脆弱性 | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-053 | "Service Control Manager Named Pipe Impersonation" Vulnerability | ○ | ○ | |
| MS00-052 | 「Shell の相対パス」の脆弱性 | △ (TSE 用) | ○ | |
| MS00-050 | "Telnet Server Flooding" Vulnerability | ○ | ○ | MS01-031 に含まれる。 |
| MS00-049 | "The Office HTML Script" 脆弱性, "The IE Script" 脆弱性 | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-047 | 「NetBIOS Name Server Protocol Spoofing」の脆弱性 | △ (Server, Server TSE) | ○ | |
| MS00-046 | "Cache Bypass" 脆弱性 | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-045 | 「メールとブラウザがリンクしつづけてしまう」脆弱性 | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-044 | 「ディレクトリブラウザ引数の不在」脆弱性 (IIS) | △ | ○ | MS01-026 に含まれる。 |
| MS00-043 | "Malformed E-mail Header" 脆弱性 | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-042 | "Active Setup Download" 脆弱性 | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-040 | 「リモートレジストリアクセス認証」の脆弱性 | △ (TSE は×) | ○ | |
| MS00-039 | "SSL Certificate Validation" 脆弱性 | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-038 | 「Windows Media Encoder の異常な形式の要求」の脆弱性 | N/A | ○ | |
| MS00-037 | "HTML Help File Code Execution" 脆弱性 | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-036 | 「ブラウザからの過度なアナウンス」の脆弱性 | × | ○ | NT 4.0 用は SRP に含まれる。 |
| MS00-033 |
"Frame Domain Verification" 脆弱性, "Unauthorized Cookie Access" 脆弱性, "Malformed Component Attribute" 脆弱性 |
[1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-032 | 「Protected Store のキー暗号化」の脆弱性 | ○ | ○ | |
| MS00-031 | 「区切り文字なしの .HTR リクエスト」および「.HTR 経由のファイルフラグメントの読み取り」の脆弱性 (IIS) | [1] | [1] | [1] MS01-026 に含まれる。 |
| MS00-030 | 「URL 内の変形された拡張子データ」の脆弱性 (IIS) | △ | ○ | MS01-026 に含まれる。 |
| MS00-029 | 「断片化された IP パケットの組み立てなおし」の脆弱性 | △ | ○ | |
| MS00-028 | 「サーバー側イメージマップコンポーネント」の脆弱性 (IIS / FrontPage Server Extension) | × | ○ | htimage.exe と imagemap.exe を削除することにより対応する。 |
| MS00-027 | 「極端に長い環境文字列を生成する引数が指定された場合」の脆弱性 | × | ○ | NT 4.0 用は SRP に含まれる。 |
| MS00-026 | 「オブジェクトに対する属性」の脆弱性 | ○ | ○ | |
| MS00-025 | 「Link View サーバー側コンポーネント」の脆弱性 (IIS) | × | ○ | dvwssr.dll を削除すればよい。 |
| MS00-024 | 「改ざんされたレジストリが暗号キーに与える影響」の脆弱性 | △ (X86, alpha) | ○ | MS00-008 を含む。 |
| MS00-023 | 「無数のエスケープ文字」の脆弱性 (IIS) | △ | ○ | MS01-026 に含まれる。 |
| MS00-021 | 「改ざんされた TCP/IP 印刷リクエスト」の脆弱性 | △ (TSE 用?) | ○ | NT 4.0 用は SRP に含まれる。 |
| MS00-020 | 「デスクトップの分割による」脆弱性に対する対策 | ○ | ○ | |
| MS00-019 | 「仮想化された UNC シェア」の脆弱性 (IIS) | × | ○ | MS01-026 に含まれる。 |
| MS00-018 | 「チャンクエンコーディングされたポスト」の脆弱性 (IIS) | △ | ○ | |
| MS00-016 | "Malformed Media License Request" Vulnerability | N/A | ? | Windows Media Rights Manager 7 で fix? |
| MS00-013 | "Misordered Windows Media Services Handshake" Vulnerability | N/A | ○ | |
| MS00-011 | "VM File Reading" Vulnerability | [1] | ○ | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-009 | "Image Source Redirect" 脆弱性 | [1] | [1] | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS00-008 | "Registry Permissions" Vulnerability | [1] | ○ | [1] MS00-024 に含まれる。 |
| MS00-007 | 「ごみ箱作成に伴う」脆弱性 | △ | ○ | |
| MS00-006 | 「Hit-Highlighting 引数の形式不良」の脆弱性 (IIS / Index Server) | △ (x86/PC98, alpha) | ○ | |
| MS00-005 | "Malformed RTF Control Word" Vulnerability | △ (x86, alpha) | ○ | NT 4.0 TSE SP6 にはこの fix が含まれる。 |
| MS00-004 | "RDISK Registry Enumeration File" Vulnerability | △ (x86, alpha) | ○ | \winnt\repair から everyone への ACL を取っても解決可能 |
| MS00-003 | "Spoofed LPC Port Request" Vulnerability | △ | ○ | NT 4.0 TSE SP6 にはこの fix が含まれる。 |
| MS99-061 | 「エスケープ文字解析」の脆弱性 (IIS) | △ (x86, Alpha) | ○ | |
| MS99-058 | 「仮想ディレクトリの名前」の脆弱性 (IIS) | ○ | ○ | |
| MS99-057 | 「SID に無効な引数が渡された場合」の脆弱性 | [1] | ○ | MS99-056 に含まれる。 |
| MS99-056 | 「Syskey がキーストリームを再使用する」脆弱性 | △ | ○ | NT 4.0 TSE SP6 にはこの fix が含まれる。 |
| MS99-055 | 「リソースカタログ要求に対し改ざんされた引数が渡された場合」の脆弱性 | △ | ○ | NT 4.0 TSE SP6 にはこの fix が含まれる。 |
| MS99-053 | 「マルチスレッド SSL ISAPI フィルタ」の脆弱性 (IIS) | △ (x86 版, alpha 版) | ○ | |
| MS99-047 | 「改ざんされたスプーラリクエスト」脆弱性 | △ | ○ | NT 4.0 TSE SP6 にはこの fix が含まれる。 |
| MS99-046 | 「TCP/IP のシーケンス番号が予測できてしまう」脆弱性 | △ | ○ | |
| MS99-045 | 「仮想マシンベリファイア」の脆弱性 | [1] | ○ | [1] MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS99-041 | 「RASMAN セキュリティ記述子」の脆弱性 | ×[1] | ○ | [1] tool は日本語版 NT でも使用可のはず。 |
| MS99-039 | 「ドメイン解決」、「FTPダウンロード」の脆弱性 (IIS) | △ | ○ | MCIS 2.5 SP1 にて fix。 |
| MS99-038 | 「パケットの不正情報によりソースルーティングが有効になる」脆弱性 | ○ | ○ | |
| MS99-036 | 「Windows NT 4.0 が無人インストールファイルを削除しない」ことによる脆弱性 | [1] | ○ | [1] %windir%\system32 に $winnt$.inf あるいは $nt4pre$.inf があったら削除してしまえばよい。 |
| MS99-034 | 「断片化された IGMP パケット」の脆弱性 | ○ | ○ | |
| MS99-031 | Virtual Machine Sandbox 問題 | [1] | [1] | MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況 を参照 |
| MS99-029 | "Malformed HTTP Request Header" Vulnerability (IIS 4) | ○ | ○ | |
| MS99-028 | "Terminal Server Connection Request Flooding" Vulnerability | △[1] | ○ | [1] 弱点があるのは TSE のみ。 |
| MS99-026 | "Malformed Dialer Entry" Vulnerability | ○ | ○ | |
| MS99-025 | Unauthorized Access to IIS Servers through ODBC Data Access with RDS | [1] | [2] |
[1]
[IIS]RDS、IIS、ODBC のセキュリティ、
[IIS]Microsoft Security Bulletin MS99-025 の FAQ
に基づく設定が必要。 [2] RDS を利用しない場合は RDS を停止することが望ましい。 Web コンテンツの改ざんに対する防御策についての説明 の Windows 2000 Server/Windows 2000 Advanced Server (IIS 5.0) の場合 などを参照。 |
| MS99-024 | "Unprotected IOCTLs" Vulnerability | ○ | ○ | |
| MS99-023 | "Malformed Image Header" Vulnerability | ○ | ○ | |
| MS99-022 | "Double Byte Code Page" Vulnerability (IIS 4) | ○ | ○ | |
| MS99-020 | "Malformed LSA Request" Vulnerability | ○ | ○ | |
| MS99-019 | "Malformed HTR Request" Vulnerability (IIS 4) | ○ | ○ |