米Microsoftが,Windows XPに対応した初のアップデート・モジュールパック「Windows XP Service Pack 1 (SP1)」の英語版を,米国時間9月9日にリリースした(関連記事)。英語版と同時に各種英文ドキュメントが公開されている。日本語版は未公開だが,今回のコラムでは,英文ドキュメントを基に,SP1の詳細を明らかにしたい。ドキュメントには,新たに追加される数々の機能や,SP1でのセキュリティ・パッチ対応状況が記されている。
ついに登場,SP1
XP に限らず,すべての“Windowsファミリー”にとって,最初のService Packである“SP1”は重要な位置付けにある。というのも,ベータ・テスターとは異なる,実際のユーザーからのフィード・バックを基にしたアップデート・モジュールであるからだ。
Windows XP SP1には,特に「アプリケーションとハードウェア互換性」,「オペレーティングシステム信頼性」,「既知のWindows XPセキュリティ問題対応」のための,最新アップデートが含まれるという。
Windows XP SP1の対象は,Windows XP Professional/Home Edition/64-Bit Editionである。入手するには,Webサイトからダウンロードするか,CD-ROMを送付してもらう。ダウンロードについては無償だが,CD-ROMの送付は有償である。
ダウンロードの方法は2種類。1台のマシンに必要なファイルだけをインストールする「Express Installation」と,ファイルすべてをダウンロードして,ネットワーク経由で複数のマシンがインストールできるようにする「Network Installation」がある。ダウンロードするファイルの容量は,「Express Installation」の場合,それまでのパッチ適用状況によって異なるが,典型的なケースで30Mバイト,「Network Installation」の場合は134Mバイトである。
2002年秋から出荷される Windows XP搭載パソコンには SP1がプリインストールされ,2002年晩秋から出荷されるインストレーションCDには,Windows XP SP1が含まれる予定である。
USB 2.0やSUSをサポート,IEなどは削除可能に
次に,SP1と同時に公開された「Windows XP Service Pack 1」や「Windows XP Service Pack 1 Q&A」といったドキュメントを基に,SP1で追加される機能などを見ていこう。
まずSP1には,同日公開された「Internet Explorer 6 Service Pack 1」が含まれている。
そして,「USB 2.0」と「Windows XP Media Center Edition」,ペン入力形パソコン用OS「Windows XP Tablet PC Edition」(2002年11月に出荷予定)をサポートしている(関連記事)。しかし,「Bluetooth」はサポートしない。なお,Windows XP Media Center Editionについては,ベンダー向けには2002年9月初めに出荷済みである(関連記事)。
さらに,「Microsoft Software Update Services (SUS)」のクライアント・コンポーネント機能も含まれる。SUSとは,自社向けの“Windows Update サイト”をシステム管理者が構築できるサービスである。ちなみに,2002年8月に公開された「Windows 2000 SP3」にも,このSUSクライアント機能が含まれている。
また,「Windows 2000 SP3」と同様に,Windowsの一部プログラム(Internet Explorer,Outlook Express,Microsoft版JVM,Windows Messenger,Windows Media Player)を削除できる機能も追加された。これは,不正競争防止のために米国司法省と結んだ協定に基づく措置である。
セキュリティ・パッチをすべて含んでいるか?
新機能が豊富なSP1。しかし筆者として気になるのはセキュリティ・パッチの対応状況である。Windows XPが対象のセキュリティ・パッチは,すべてSP1に含まれているのだろうか。含まれていないものがある場合には,その旨明記されているのだろうか。これらを明らかにするために,「Windows XP SP1」に含まれないセキュリティ・パッチをチェックしてみよう。
SP1に含まれないセキュリティ・パッチとしては,(1)SP1に含めるパッチを確定した後に公開したパッチ,(2)確定前に公開していても,何らかの理由でSP1に含めなかったパッチ――の2種類が考えられる。
各種ドキュメントによれば,SP1には,2001年10月から2002年8月中旬までにリリースされた,Windows XPに関するすべてのセキュリティ・パッチを含むとしている。これ以降に公開されたパッチが上記(1)に該当することになる。まずはこれを確認しよう。
今回のSP1に含まれているXP関連のセキュリティ・パッチは「Windows XP Service Pack 1 (SP1)」にリストアップされている。現時点では15件存在する(Internet Explorer 6関連パッチは除く)。
SP1のドキュメントをチェックした結果,SP1に含まれている最も新しいパッチは,米国時間8月28日に公開された「Certificate Enrollment Control の問題により,デジタル証明書が削除される (Q323172) (MS02-048)」だった。ドキュメントでは2002年8月中旬としているが,実際には8月中に公開されたセキュリティ・パッチまでが含まれているようだ。
そのため,米国時間9月4日に公開された「証明書確認の問題により,ID が偽装される (Q328145) (MS02-050)」が,上記(1)のパッチに該当することになる(MS02-050の詳細については,コラムの後半で詳述する)。
MS02-050のパッチが含まれないことは,Microsoftの検索サービス「Hotfix and Security Bulletin Search」でも明らかである。このサービスでは,プロダクト名を選択すると,現在必要なパッチを表示してくれる。「Windows XP Service Pack 1」で検索したところ,確かに「MS02-050」が表示された。
確定前のセキュリティ・パッチはすべて含む,ただしドキュメントに不備
次に,(2)「確定前に公開していても,何らかの理由でSP1に含めなかったパッチ」を調べてみた。ドキュメント「Windows XP Service Pack 1 (SP1)」には,含まれないパッチについての記載は特にない。
そこで,過去のパッチ情報と,このドキュメントに記された「含まれているパッチ」情報を手作業で突き合せた結果,「ネットワーク共有プロバイダの未チェックのバッファにより,サービス拒否が起こる (Q326830) (MS02-045)」と,「無効なユニバーサル プラグ アンド プレイのリクエストがシステムのオペレーションを妨害する (MS01-054)」の2件が含まれていないことが判明した。
しかし,SP1が対象とするバグ・フィックスすべてをリストアップした「Categorized List of Fixes in Windows XP Service Pack 1 (SP1)」をチェックすると,この2件はきちんとリストアップされていた。上記2件が含まれていなかったのは,「Windows XP Service Pack 1 (SP1)」というドキュメントの単なる不備であろう。
結局,SP1には上記(2)に該当するパッチは存在せず,確定前に公開されたパッチはすべて含まれているようだ。
念のため,「Windows 2000 SP3」に含まれなかった「WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う(MS01-022)」と,「XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる(MS02-008)」が,Windows XP SP1に含まれているかどうかチェックしてみた。
すると,「MS01-022」については Windows XPは対象外であり,「MS02-008」は SP1にきちんと含まれていることが明らかとなった。Windows 2000 SP3で漏れたこれらのパッチも,Windows XP SP1では“問題なし”だった。加えて,Internet Explorer 6関連パッチに関してもチェックしてみたが,こちらについても問題なしだった。
【9月20日追記】MS02-008のパッチについては,その一部(MSXML 4.0用パッチ)がXP SP1には含まれていない。そのため,MSXML 4.0ユーザーは別途MS02-008のパッチを適用する必要がある。詳細については,マイクロソフトの公開情報「Windows XP Service Pack 1 日本語版」や筆者が運営する「Winセキュリティ虎の穴」を参照してほしい。
日本語版のリリースは9月末
最後に,Windows XP SP1日本語版のリリース時期について言及して,コラムの前半を締めくくろう。
Service Pack の日本語版リリース時期については,一般的には「1週間~10日程度で日本語化が完了する」と言われている。実際「Windows 2000 Service Pack 3」の場合は,1週間あまりで日本語版が登場した。
Windows XP SP1についても同程度の時間がかかると考えられるので,リリースは9月末ごろになるだろう。引き続き,このコラムでもフォローしていくので,ぜひ参考にしてほしい。
【9月19日追記】マイクロソフトは9月19日,Windows XP SP1の日本語版を公開した(関連記事)。
デジタル証明書のチェックに不具合,影響は深刻
次に,コラムの“後半”として,Windows関連のセキュリティ・トピックス(2002年9月15日時点分)を,プロダクトごとに整理して解説する。
各種OS関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが1件公開された。
証明書確認の問題により,ID が偽装される (Q328145) (MS02-050)
Windows 98/98 Second Edition/Me/NT 4.0/NT 4.0, Terminal Server Edition/2000/XPにおいて,デジタル証明書チェーンの検証に関連するセキュリティ・ホールが見つかった。デジタル証明書を適切にチェックできないため,Webサイトや電子メール署名の偽装などを許す可能性がある(関連記事)。
対策はパッチを適用すること。Windows XP 64 bit Edition版以外の日本語版パッチは既に公開されている。深刻なセキュリティ・ホールなので,速やかに適用する必要がある。
パッチの適用条件は,
- NT 4.0 用:Windows NT 4.0 Service Pack 6aを適用済みであること
- NT 4.0, Terminal Server Edition 用:Windows NT 4.0 Terminal Server Edition Service Pack 6を適用済みであること
- 2000 用:Windows 2000 Service Pack 2 または Service Pack 3を適用済みであること
- XP 用:なし。ただし,Windows XP Service Pack 1 を適用した環境にも適用できる
- 上記以外:適用条件なし
ただし,適用の際には以下の点に注意する必要がある。
まず,Windows 98/98 Second Edition の環境では,Internet Explorer 5.01 以上が必要である。
加えて,この修正パッチを適用すると,システムに新しいハードウエアをインストールできなくなる場合がある。ハードウエアを追加あるいは変更する際に,そのドライバが(実際には合格していても)「Windows ロゴテスト」に合格していないという警告メッセージが表示されてしまうのだ。この情報は,9月11日付けでセキュリティ情報に追加された。
この問題を排除する新しいパッチをマイクロソフトは現在開発中であり,近日中にリリースする予定である。該当ユーザーは注意しておこう。
なお,Office v.X for Mac/Office 2001 for Mac/Office 98 for Macintosh Edition/Internet Explorer for Mac/Outlook Express for Macも影響を受ける。これらMac 製品向けのパッチは現在のところ公開されていない。
Windows 製品は,CryptoAPI に不具合が存在するため影響度が大きいが,Mac 製品では,デジタル証明書を使用するのは SSL のみであるため,影響度は比較的小さいだろう。とはいえ,一刻も早いパッチ公開が望まれる。
Visual FoxProにセキュリティ・ホール
各種アプリケーション関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報が1件公開された。
警告なしで Web ページが Visual FoxPro 6.0 アプリケーションを起動する (Q326568) (MS02-049)
Visual FoxPro 6.0 には,製品のインストール時に Internet Explorer に登録されないという不具合が存在する。そのため,不正なWebページに誘導されるか,HTMLメールを送信されると,Internet Explorerが警告を出すことなく,Visual FoxProアプリケーションが起動される恐れがある。
ただし,Visual FoxPro 6.0 は英語版製品のみが提供されているので,国内ユーザーは少ないだろう。当然,日本語版パッチは存在しない。該当製品のユーザーだけが注意すればよい。
“Windows に存在する構造上の問題”に関する見解を発表
TechNet Online セキュリティでは,レポートが2件公開された。(1)「報告された Windows の構造上の問題に関する情報」と,(2)「2002 年 8 月 セキュリティ 警告サービス 月刊サマリー」である。
(1)は,海外のマスコミやセキュリティ関連のメーリング・リストで議論されている“Windows に存在する構造上の問題”に関して,マイクロソフトの見解を示したレポートである。
“Windows に存在する構造上の問題”とは,高い特権を持つサービスが“対話型デスクトップ”で実行されている場合,そのシステムに対話的にログオンできるユーザーにその特権を悪用される可能性があるという問題である。
対話型サービスには最小限の権限のみを割り当てる,あるいは,特権が悪用されないように,サービスの開発者が対策を講じておけば問題はない。しかし,マイクロソフトが開発した対話的サービスにも,不適切に高い特権で実行される場合がある。そのため,マイクロソフトは修正パッチを開発中であるとしている。
開発者側の対策が施されるまでは,ユーザーとしては,セキュリティ対策のセオリーである「システムに対話的にログオンできるユーザーを制限する」ことや「パスワード管理を徹底する」といった自衛策で回避しよう。
「Small Business Server 2000 SP1」日本語版が公開
「Microsoft Windows ファミリー Home Page」では,リリースが1件公開された。
リリースは,9月13日付けで「Small Business Server 2000 Service Pack 1(SP1)」日本語版が公開されたことを伝えている。Small Business Server 2000 SP1には,Windows 2000 Server SP3 や,各コンポーネントの最新版Service Pack,さらに Small Business Server 固有の修正パッチが含まれている。該当製品のユーザーはぜひチェックしておこう。
マイクロソフト セキュリティ情報一覧
『Windows 98/98 Second Edition/Me/NT 4.0/NT 4.0, Terminal Server Edition/2000/XP 』
◆証明書確認の問題により,ID が偽装される (Q328145) (MS02-050)
(2002年 9月11日:Windows 2000 の日本語版パッチ公開および警告情報追加,最大深刻度 : 高)
(2002年 9月 6日:Windows 98/98 Second Edition および Windows Me の日本語版パッチ公開,最大深刻度 : 高)
(2002年 9月 5日:日本語情報及びWindows NT 4.0系 および Windows XPの日本語版パッチ公開,最大深刻度 : 高)
『Visual FoxPro 6.0』
◆警告なしで Web ページが Visual FoxPro 6.0 アプリケーションを起動する (Q326568) (MS02-049)
(2002年 9月 5日:日本語情報公開,英語版製品のみのため日本語版パッチなし,最大深刻度 : 中)
TechNet Online セキュリティ
◆2002 年 8 月 セキュリティ 警告サービス 月刊サマリー
Microsoft Windows ファミリー Home Page
◆Small Business Server 2000 Service Pack 1 提供開始!!
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yama@bears.ad.jp
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
