更新プログラムを適用した環境でActiveXコントロールを呼び出すWebページにアクセスした際に表示されるダイアログの例
更新プログラムを適用した環境でActiveXコントロールを呼び出すWebページにアクセスした際に表示されるダイアログの例
[画像のクリックで拡大表示]

 マイクロソフトは3月1日,同日公開したWindows XP Service Pack(SP)2およびServer 2003 SP1上のInternet Explorer(IE)6用更新プログラムに関するセキュリティアドバイザリを公表した。アドバイザリの目的は,「同プログラムはセキュリティ更新プログラム(修正パッチ)ではないこと」や「インストールするとユーザビリティに影響を与える場合があること」などを伝えること。

 アドバイザリが対象としている更新プログラム(KB912945)は,2月15日に公開された「Internet Explorer用の累積的なセキュリティ更新プログラム (910620) (MS06-004)」などとは異なり,セキュリティに関する更新プログラムではない。IEからActiveXコントロールを呼び出す方法を変更する更新プログラムである。

 具体的には,更新プログラム(KB912945)を適用すれば,対話的に操作するActiveXコントロールが自動的には実行されなくなる。このため,アクセスしたWebページによっては,ページに埋め込まれたActive Xコントロールをユーザーが手動で起動する必要がある。

【3月1日追記】MSDNの情報によれば,「APPLET」「EMBED」「OBJECT」要素でActiveXコントロールを呼び出すWebページにアクセスすると,ダイアログなどが表示されて,コントロールを実行してもよいかどうかをユーザーにたずねるという(写真)。【以上,3月1日追記】

 また,今回の更新プログラムをインストールしたマシンをMicrosoft Baseline Security Analyzer(MBSA)1.2やSystems Management Server(SMS)2.0でチェックすると,たとえ適用済みであっても,「MS05-054」および「MS05-049」のセキュリティ更新プログラムを適用する必要があると報告し続けるという。MBSA 2.0やSMS 2003では,この問題は発生しない。

 なお,更新プログラム(KB912945)は「セキュリティ以外の更新プログラム」とされているが,「MS05-054」のセキュリティ更新プログラムと,今までに公開されたWindows XP SP2/Server 2003 SP1上のIE 6用セキュリティ更新プログラムが含まれている。

 更新プログラム(KB912945)は,Windowsの自動更新機能ではインストールされない。また,Windows UpdateやMicrosoft Updateにおいて「優先度の高い更新プログラム」としては表示されない。

【3月1日追記】ダウンロードセンターで公開されている今回の更新プログラムの「公開された日付」は2月20日あるいは21日だが,マイクロソフトによれば,これらはダウンロードセンターに登録した日付であり,一般公開したのはアドバイザリに記述しているように3月1日であるという(MSDN会員などには事前に提供していた)。

 一方,この更新プログラムに関する技術情報「Internet ExplorerのActiveX更新プログラム」については,2月中から公開している。【以上,3月1日追記】

◎参考資料
◆マイクロソフト セキュリティ アドバイザリ (912945) Internet Explorer 用のセキュリティ以外の更新プログラム