マイクロソフトは7月3日,Windows 2000 Service Pack 4(SP4)の日本語版を公開した。同社サイトからダウンロードできるとともに,「Windows Update」からも適用可能である。CD-ROM(1050円)を購入することもできる。Windows 2000 SP4には過去に公開されたセキュリティ・パッチのほとんどが含まれている。加えて,同社が未公開のセキュリティ・ホールもふさげるようなので,ぜひ適用したい。ただし,適用上の注意点やSP4に含まれないパッチが存在するので,適用前には同社が提供するドキュメントなどに目を通しておきたい(関連記事)。
Windows 2000 SP4英語版が公開されたのは6月26日なので,日本語版は1週間後に公開されたことになる(関連記事)。SP4では「Wireless Protocol 802.1x」と「USB 2.0 EHCI Host Controllers」といったデバイスを新たにサポートするものの,基本的には機能を拡張するためのサービス・パックではなく,Windows 2000のセキュリティや安定性を高めるためのサービス・パックである。実際,今までに公開されたセキュリティ・パッチのほとんどが含まれている。
さらに,セキュリティ情報として公開されていないセキュリティ・ホールをふさぐパッチも含まれているようだ。セキュリティ・ベンダーのラックによると,Windows 2000に含まれる「SHELL32.DLL」には,バッファ・オーバーフローのセキュリティ・ホールが存在するが,Windows 2000 SP4を適用すれば解消できるという。
ラックが公開した情報には詳細は記述されていないが,Webページやメール経由で悪用が可能な,深刻なセキュリティ・ホールのようである。現時点では,マイクロソフトはこのセキュリティ・ホールに関するセキュリティ情報や個別のパッチを公開していない。
なお,過去に公開されたパッチのすべてがWindows 2000 SP4に含まれるわけではないので注意が必要である。また,SP4の適用で発生する問題が既にいくつか報告されている。SP4を適用する前に,マイクロソフトが公開する各種ドキュメント(「Windows 2000 Service Pack 4 日本語版 」のページから,「詳細情報」としてリンクが張られている)や,関連記事「日本語版の公開間近,Windows 2000 SP4を解説する」に目を通しておきたい。
◎参考資料
◆Windows 2000 Service Pack 4 日本語版(マイクロソフト)
◆Windows 2000 Service Pack 4 のダウンロード(マイクロソフト)
◆Windows 2000 Service Pack 4 リリースノート(マイクロソフト)
◆SNS Advisory No.65「Windows 2000 ShellExecute() API Let Applications to Cause Buffer Overflow」(ラック)
(勝村 幸博=IT Pro)
