Hotfix詳細 - Windows2000

Windows2000　ServicePack4

量が膨大なこともあり、特に調べる予定はない

2009/01/25頃からMS公式からSP4が消えたため、ファイル名が以前と異なる
以前は「W2KSP4_ja.EXE」
ファイル名は違うが内容は同じである、CRCとMD5を貼り付けておく
CRC32: 14C6100C
MD5: BA2CF3E4E7FB644871B3263392E9080A

BITS2.0およびWinHTTP5.1を含む更新プログラムパッケージ

• bitsinst.exe
• 6.6.2600.1596
• bitsprx2.dll
• 6.6.2600.1596
• bitsprx3.dll
• 6.6.2600.1596
• qmgr.dll
• 6.6.2600.1596
• qmgrprxy.dll
• 6.6.2600.1596
• winhttp.dll
• 5.1.2600.1557
• xpob2res.dll
• 5.1.2600.1557

WUする際にこれが入っていないと蹴られる
WUをまったく利用しないノートPCには統合していない

レジストリ情報

コンピュータの更新プログラムの管理に役立てられる Windows Update エージェントの最新のバージョンを入手する方法

• wuauclt.exe
• 7.2.6001.788
• wusetup.exe
• 7.2.6001.788
• cdm.dll
• 7.2.6001.788
• msxml3.dll
• 8.50.2162.0
• msxml3r.dll
• 8.20.8730.1
• wuapi.dll
• 7.2.6001.788
• wuaueng.dll
• 7.2.6001.788
• wuauserv.dll
• 7.2.6001.788
• wucltui.dll
• 7.2.6001.788
• wups.dll
• 7.2.6001.788
• wups2.dll
• 7.2.6001.788
• wuweb.dll
• 7.2.6001.788
• wuaucpl.cpl
• 7.2.6001.788

msxml3.dllの最新はKB955069の8.100.1048.0
どうもinfファイルの記述とコピーファイルが一致しない
infにはレジストリの登録に関する記述も見当たらず、NOREGで良さそうな気もする
次回の再セットアップ時にNOREGに入れて検証する

Windows インストーラ 3.1 v2 (3.1.4000.2435)

• msiexec.exe
• 3.1.4000.1823
• msi.dll
• 3.1.4000.2435
• msihnd.dll
• 3.1.4000.1823
• msimsg.dll
• 3.1.4000.1823
• msisip.dll
• 3.1.4000.1823

レジストリ情報

Windows FTP クライアントの脆弱性により、ファイルの転送場所が改ざんされる

• msieftp.dll
• 5.50.4956.500

IE/OE用の修正プログラムはセキュリティ修正プログラムとは異なる位置にレジストリを作成する
以下に{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}キーを作成し、ComponentIDで修正プログラムを識別する
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
つまり、インストールしましたよ、というレジストリを登録しているに過ぎないと考えられるのでNOREGで良い
拘らない人はHFに入れた方が良い
私はIE5なので統合していない

HKLM,"Software\Microsoft\Active Setup\Installed Components
\{685e3910-1f77-49b9-9434-50bcd95c51ab}",,,"%COMPID%"
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{685e3910-1f77-49b9-9434-50bcd95c51ab}","IsInstalled",0x10001,01,00,00,00    
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{685e3910-1f77-49b9-9434-50bcd95c51ab}","Version",,"%VERSION%"
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{685e3910-1f77-49b9-9434-50bcd95c51ab}","ComponentID",,"%COMPID%"

GDI+の脆弱性により、リモートでコードが実行される

• vgx.dll
• 6.00.2800.1612

通常はHFだが、上と同様の理由でNOREGで良い
私はIE5なので統合していない

HKLM,"Software\Microsoft\Active Setup\Installed Components
\{f156e5b2-f52e-4094-800c-e7392fe62314}",,,"%COMPID%"
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{f156e5b2-f52e-4094-800c-e7392fe62314}","IsInstalled",0x10001,01,00,00,00    
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{f156e5b2-f52e-4094-800c-e7392fe62314}","Version",,"%VERSION%"
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{f156e5b2-f52e-4094-800c-e7392fe62314}","ComponentID",,"%COMPID%"

Internet Explorer 用の累積的なセキュリティ更新プログラム

• browseui.dll
• 6.00.2800.1949
• cdfview.dll
• 6.00.2800.1949
• danim.dll
• 6.03.01.0148
• dxtmsft.dll
• 6.00.2800.1618
• dxtrans.dll
• 6.00.2800.1618
• iepeers.dll
• 6.00.2800.1618
• inseng.dll
• 6.00.2800.1618
• jsproxy.dll
• 6.00.2800.1618
• mshtml.dll
• 6.00.2800.1618
• msrating.dll
• 6.00.2800.1949
• mstime.dll
• 6.00.2800.1618
• pngfilt.dll
• 6.00.2800.1618
• shdocvw.dll
• 6.00.2800.1949
• shlwapi.dll
• 6.00.2800.1949
• urlmon.dll
• 6.00.2800.1618
• wininet.dll
• 6.00.2800.1618

セキュリティおよびセキュリティ以外の修正の両方であるRTMQFEで記述
レジストリが大量にあるが、必要性を感じられない人はNOREGへ
私はIE5なので統合していない

レジストリ情報

Internet Explorer 用のセキュリティ更新プログラム

• mshtml.dll
• 6.00.2800.1620

通常はHFだが、上と同様の理由でNOREGで良い
私はIE5なので統合していない

HKLM,"Software\Microsoft\Active Setup\Installed Components
\{80b81c71-14cd-41c3-9e8c-08b9e06d02ef}",,,"%COMPID%"
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{80b81c71-14cd-41c3-9e8c-08b9e06d02ef}","IsInstalled",0x10001,01,00,00,00
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{80b81c71-14cd-41c3-9e8c-08b9e06d02ef}","Version",,"%VERSION%"
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{80b81c71-14cd-41c3-9e8c-08b9e06d02ef}","ComponentID",,"%COMPID%"
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{80b81c71-14cd-41c3-9e8c-08b9e06d02ef}","PackageVersion",0x00010001,1

インターネット インフォメーション サービスの脆弱性により、特権の昇格が起こる

• msadce.dll
• 2.53.6307.0
• msadco.dll
• 2.53.6307.0
• msadcs.dll
• 2.53.6307.0
• msado15.dll
• 2.53.6307.0
• msadomd.dll
• 2.53.6307.0
• msadox.dll
• 2.53.6307.0
• msdaprst.dll
• 2.53.6307.0
• msjro.dll
• 2.53.6307.0
• msdaps.dll
• 2.53.6307.0
• oledb32.dll
• 2.53.6307.0
• odbc32.dll
• 3.520.6307.0
• odbcbcp.dll
• 3.70.1146
• odbccp32.dll
• 3.520.6307.0
• odbcji32.dll
• 4.00.6307.0
• odbcjt32.dll
• 4.00.6307.0
• oddbse32.dll
• 4.00.6307.0
• odexl32.dll
• 4.00.6307.0
• odfox32.dll
• 4.00.6307.0
• odpdx32.dll
• 4.00.6307.0
• odtext32.dll
• 4.00.6307.0
• sqlsrv32.dll
• 3.70.1146

infにはレジストリの登録に関する記述がインストール情報以外見当たらず、NOREGで良さそうな気もする
DLLの登録等がありそうなので実際試さないとなんとも言えない
次回の再セットアップ時にNOREGに入れて検証する

Outlook ExpressおよびWindowsメール用のセキュリティ更新プログラム

申し訳ないが、残す気は微塵も無いので調べない
当然統合していない

証明書確認の問題により、ID が偽装される

• cryptdlg.dll
• 5.00.1558.6608

デフォルトのWin2kにSP4、IE6、DirectX9のみを適用している状態だと、WUに表示されていたもの
同じファイルがKB891861(ロールアップ)に含まれているので不要
ロールアップ導入後はリストから消失

SP4 用の更新プログラム ロールアップ 1
ファイルやレジストリ情報は膨大なので、調べる予定はない

テレフォニー サービスの脆弱性により、リモートでコードが実行される

• remotesp.tsp
• 5.00.2195.7002
• tapisrv.dll
• 5.00.2195.7057

サービス「Telephony」を無効にしているため今後削除予定

HTML ヘルプの脆弱性により、リモートでコードが実行される

• hhctrl.ocx
• 5.2.3790.309
• hh.exe
• 5.2.3790.309
• hhsetup.dll
• 5.2.3790.309
• itircl.dll
• 5.2.3790.309
• itss.dll
• 5.2.3790.309

nLite「ヘルプエンジン」を削除しているため存在しないファイルが多い
hhsetup.dllはnLiteで削除されないが恐らく不要（要調査）
レジストリは不要と見なし、私はNoregに入れている

レジストリ情報

サーバーメッセージブロックの脆弱性により、リモートでコードが実行される

• srvsvc.dll
• 5.00.2195.6697
• srv.sys
• 5.00.2195.7044

デフォルトのWin2kにSP4、IE6、DirectX9のみを適用している状態だと、WUに表示されていたもの
srvsvc.dllの最新はロールアップ(KB891861)の5.00.2195.6930
srv.sysの最新はKB957095の5.00.2195.7177
ロールアップ適用前のWUリストに表示されていたが、適用後のWUからは消えた
レジストリに関してもロールアップに同じものがあった

HKLM,SYSTEM\CurrentControlSet\Services\EventLog\System\MrxSmb,"EventMessageFile",0x20000,"%SystemRoot%\System32\netevent.dll;%SystemRoot%\System32\iologmsg.dll;%SystemRoot%\System32\sp3res.dll"
HKLM,SYSTEM\CurrentControlSet\Services\Tapisrv,"Type",0x10021,0x20

印刷スプーラの脆弱性により、リモートでコードが実行される

• spoolsv.exe
• 5.00.2195.7059
• faxui.dll
• 5.00.2195.7003
• spoolss.dll
• 5.00.2195.7054
• win32spl.dll
• 5.00.2195.7054

nLite「プリンタのサポート」を削除していれば不要だが、
spoolsv.exe、spoolss.dllに関しては、nLite「プリンタのサポート」で消えたと思いきやCD内に残っている
但し、システム上にはインストールされないようで必要性はない
私は統合していない

Kerberos の脆弱性により、サービス拒否、情報の漏えいおよびなりすましが行われる

• kdcsvc.dll
• 5.00.2195.7053
• kerberos.dll
• 5.00.2195.7053
• sp3res.dll
• 5.00.2195.7040

sp3res.dllの最新はKB957097の5.00.2195.7151
nLite「Kerberos Key Distribution Center」を削除しているため恐らく不要だと思うが、kerberos.dllが必須かどうか要調査
現状このHotfixは統合している

HKLM,SYSTEM\CurrentControlSet\Services\EventLog\System\Kerberos,"EventMessageFile",0x20000,
"%SystemRoot%\System32\kerberos.dll;%SystemRoot%\System32\sp3res.dll"

NetWare 用クライアント サービスの脆弱性により、リモートでコードが実行される

• nwwks.dll
• 5.00.2195.7065

nLite「NetWareネットワーククライアント」を削除していれば不要
私は統合していない

Windows シェルの脆弱性により、リモートでコードが実行される

• printers.htt
• ver表記無し
• linkinfo.dll
• 5.00.2195.7069
• shell32.dll
• 5.00.3900.7071
• shlwapi.dll
• 5.00.3900.7068
• webvw.dll
• 5.00.3900.7069
• winsrv.dll
• 5.00.2195.7061
• winsrv.dlluniproc
• 5.00.2195.7061
• shlwapi.dllxpsp2_binarydrop
• 6.00.2800.1740

shell32.dllの最新はKB967715の5.00.3900.7105
shlwapi.dllの最新はKB958215の5.00.3900.7201
winsrv.dllの最新はKB930178の5.00.2195.7135
webvw.dllはnLite「ウェブビュー」を削除したときに消えた（真偽の調査必要)
しかし、HFSLIPによってwebvw2.dllが生成されているがこのあたりは要調査
またxpsp2_binarydropはIE6sp1が導入されていると使われる
個人的にレジストリは不要とみなしNOREGに入れている

レジストリ情報

Microsoft Collaboration Data Objects の脆弱性により、リモートでコードが実行される

• cdosys.dll
• 6.1.3940.42

nLiteにてメール系を削除したときに消えたので不要（詳しくは調べていない）
私は統合していない

マイクロソフト カラー管理モジュールの脆弱性によりリモートでコードが実行される

• icm32.dll
• 5.0.0.3
• mscms.dll
• 5.00.2195.7054

mscms.dllの最新はKB952954の5.00.2195.7162
nLite「Microsoft Color Management(ICM)」を削除していれば不要
私は統合していない

ネットワーク接続マネージャの脆弱性により、サービス拒否が起こる

• netman.dll
• 5.00.2195.7061

プラグ アンド プレイの脆弱性により、リモートでコードが実行され、ローカルで特権の昇格が行なわれる

• umpnpmgr.dll
• 5.00.2195.7069

Windows 2000 Service Pack 4 を実行しているコンピュータにセキュリティ更新プログラム 896423 をインストールした後、ネットワーク プリンタで印刷できないことがある

• faxui.dll
• 5.00.2195.7003
• localspl.dll
• 5.00.2195.7071
• sp3res.dll
• 5.00.2195.7070
• spoolss.dll
• 5.00.2195.7054
• winsrv.dll
• 5.00.2195.7029
• winsrv.dlluniproc
• 5.00.2195.7029

sp3res.dllの最新はKB957097の5.00.2195.7151
winsrv.dllの最新はKB930178の5.00.2195.7135
KB896423を導入していなければ不要
spoolss.dllに関しては、nLite「プリンタのサポート」で消えたと思いきやCD内に残っている
但し、システム上にはインストールされないようで必要性はない
導入するならば、BASICに入れる
私は統合していない

HKLM,SYSTEM\CurrentControlSet\Services\Eventlog\System\Print,EventMessageFile,0x00020000,
"%SystemRoot%\System32\LocalSpl.dll;%SystemRoot%\System32\sp3res.dll"

埋め込み Web フォントの脆弱性により、リモートでコードが実行される

• fontsub.dll
• 5.00.2195.7071
• t2embed.dll
• 5.00.2195.7073

Windows エクスプローラの脆弱性により、リモートでコードが実行される

• shell32.dll
• 5.00.3900.7080
• verclsid.exe
• 5.00.2195.7080

shell32.dllの最新はKB967715の5.00.3900.7105
レジストリ情報に関しても、KB967715と同じであるためNOREGで良い
また、verclsid.exeはこのパッチによって追加される検証ツールだが、必要性が感じられない
現状このHotfixを統合しているが、今後の不要にするかも

HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached",
"{1cdb2949-8f65-4355-8456-263e7c208a5d} {000214e6-0000-0000-c000-000000000046}",0x10003,0x1
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached",
"{1e9b04fb-f9e5-4718-997b-b8da88302a47} {000214e8-0000-0000-c000-000000000046}",0x10003,0x1
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached",
"{1e9b04fb-f9e5-4718-997b-b8da88302a48} {000214e8-0000-0000-c000-000000000046}",0x10003,0x1
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached",
"{750FDF0E-2A26-11D1-A3EA-080036587F03} {000214E8-0000-0000-C000-000000000046}",0x10003,0x1
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached",
"{A4DF5659-0801-4A60-9607-1C48695EFDA9} {000214E6-0000-0000-C000-000000000046}",0x10003,0x1

ルーティングとリモート アクセスの脆弱性により、リモートでコードが実行される

• ipsecmon.exe
• 5.00.2195.6738
• netdiag.exe
• 5.00.2195.6738
• oakley.dll
• 5.00.2195.6738
• polagent.dll
• 5.00.2195.6738
• polstore.dll
• 5.00.2195.6738
• rasmans.dll
• 5.00.2195.7099
• ipsec.sys
• 5.00.2195.6738

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1
HKLM,SYSTEM\CurrentControlSet\Services\IPSec,"NoDefaultExempt",0x00010003,1

Microsoft Distributed Transaction Coordinator (MSDTC) の脆弱性によりサービス拒否が起こる

• catsrv.dll
• 2000.2.3529.0
• catsrvut.dll
• 2000.2.3529.0
• clbcatex.dll
• 2000.2.3529.0
• clbcatq.dll
• 2000.2.3529.0
• colbact.dll
• 2000.2.3529.0
• comadmin.dll
• 2000.2.3529.0
• comrepl.dll
• 2000.2.3529.0
• comsetup.dll
• 2000.2.3421.3529
• comsvcs.dll
• 2000.2.3529.0
• comuid.dll
• 2000.2.3529.0
• dtcsetup.cat
• ver表記無し
• dtcsetup.exe
• 2000.2.3535.0
• es.dll
• 2000.2.3529.0
• msdtclog.dll
• 2000.2.3535.0
• msdtcprx.dll
• 2000.2.3535.0
• msdtctm.dll
• 2000.2.3535.0
• msdtcui.dll
• 2000.2.3535.0
• mtstocom.exe
• 2000.2.3529.0
• mtxclu.dll
• 2000.2.3535.0
• mtxdm.dll
• 2000.2.3529.0
• mtxlegih.dll
• 2000.2.3529.0
• mtxoci.dll
• 2000.2.3535.0
• ole32.dll
• 5.00.2195.7059
• olecli32.dll
• 5.00.2195.7009
• olecnv32.dll
• 5.00.2195.7059
• rpcrt4.dll
• 5.00.2195.6904
• rpcss.dll
• 5.00.2195.7059
• sp3res.dll
• 5.00.2195.7070
• stclient.dll
• 2000.2.3529.0
• txfaux.dll
• 2000.2.3529.0
• xolehlp.dll
• 2000.2.3535.0

es.dllの最新はKB950974の2000.2.3550.0
rpcrt4.dllの最新はKB933729の5.00.2195.7090
sp3res.dllの最新はKB957097の5.0.2195.7151
消えているものはnLite「Distributed Transaction Coordinator(DTC)」の関連っぽい
レジストリ情報が無いのが救い

DHCP クライアント サービスの脆弱性により、リモートでコードが実行される

• dhcpcsvc.dll
• 5.00.2195.7085
• dnsapi.dll
• 5.00.2195.7085
• iphlpapi.dll
• 5.00.2195.7097

dnsapi.dllの最新はKB951748の5.00.2195.7158
レジストリ的にbasicと思われるが、レジストリが登録されない
個別に設定できるように別レジストリ用意

HKLM,"SYSTEM\CurrentControlSet\Services\EventLog\Application\RPC","EventMessageFile",0x00020000,
"%SystemRoot%\System32\sp3res.dll"
HKLM,"SYSTEM\CurrentControlSet\Services\EventLog\Application\RPC","TypesSupported",0x00010001,7

Microsoft 管理コンソール (MMC) の脆弱性により、リモートでコードが実行される

• createcab.cmd
• ver表記無し
• mmc.exe
• 5.00.2195.7102
• mmcndmgr.dll
• 5.00.2195.7102

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Active Server Pages を使用した Internet Information Services (IIS) の脆弱性により、リモートでコードが実行される

• asp.dll
• 5.00.0984

nLite「インターネットインフォメーションサービス(IIS)」を削除していれば不要
Serverを除いて、インターネットインフォメーションサービス(IIS)はデフォルトでインストールされない
そのため、このHotfixは不要と考えて良い
必要な人はNOREGへ

Microsoft リッチ エディットの脆弱性により、リモートでコードが実行される

• riched20.dll
• 5.30.23.1227

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Microsoft エージェントの脆弱性により、リモートでコードが実行される

• agentsvr.exe
• 2.00.0.3424
• agentdp2.dll
• 2.00.0.3424
• agentdpv.dll
• 2.00.0.3424
• sp3res.dll
• 5.00.2195.7087

sp3res.dllの最新はKB957097の5.0.2195.7151
nLite「MS Agent」を削除していれば不要
私は統合していない

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Microsoft Windows ハイパーリンク オブジェクト ライブラリの脆弱性により、リモートでコードが実行される

• hlink.dll
• 5.2.3790.2748

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

DNS 解決の脆弱性により、リモートでコードが実行される

• dnsapi.dll
• 5.00.2195.7100
• dnsrslvr.dll
• 5.00.2195.7102
• rasadhlp.dll
• 5.00.2195.7098

dnsapi.dllの最新はKB951748の5.00.2195.7158
恐らくnLite「DNS Client」を削除していれば不要
私は統合していない

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

インデックス サービスの脆弱性により、クロスサイト スクリプティングが行われる

• query.dll
• 5.00.2195.7100

query.dllはインデックス・サービス関連のDLLだが、nLite「Indexing Service」を削除しても消えない
別の用途にも使われている可能性があるため現状は統合している

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Microsoft Windows ベースのコンピュータを更新するときにエラー メッセージ "0x80070002" が表示される

• fltmgr.sys
• 5.00.2195.7108

セキュリティ情報ではなく、セキュリティ アドバイザリ
WindowsUpdateはスキャンでのみ使用しているため、私は統合していない

レジストリ情報

Windows Explorer の脆弱性により、リモートでコードが実行される

• comctl32.dll
• 5.00.3900.7109
• comctl32.dllxpsp2_binarydrop
• 5.50.4968.2500

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Kodak Image Viewer の脆弱性により、リモートでコードが実行される

• kodakimg.exe
• 5.00.2195.7136
• kodakprv.exe
• 5.00.2195.7136
• jpeg2x32.dll
• 5.00.2195.7134
• oieng400.dll
• 5.00.2195.7144
• sp3res.dll
• 5.00.2195.7136
• tifflt.dll
• 5.00.3900.7134

sp3res.dllの最新はKB957097の5.0.2195.7151
nLiteにより消滅(どれで消えたかは調べていない)したため、消えているなら不要
私は統合していない

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

NetWare 用クライアント サービスの脆弱性により、リモートでコードが実行される

• nwapi32.dll
• 5.00.2195.7109
• nwprovau.dll
• 5.00.2195.7110
• nwrdr.sys
• 5.00.2195.7110

nLite「NetWareネットワーククライアント」を削除しれば不要
私は統合していない

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Workstation サービスの脆弱性により、リモートでコードが実行される

• lsasrv.dll
• 5.00.2195.7108
• netapi32.dll
• 5.00.2195.7108
• sp3res.dll
• 5.00.2195.7087
• wkssvc.dll
• 5.00.2195.7108

lsasrv.dllの最新はKB943485の5.00.2195.7147
netapi32.dllの最新はKB958644の5.00.2195.7203
sp3res.dllの最新はKB957097の5.0.2195.7151
サービス「Workstation」を無効にしているが、現状は統合している

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Microsoft MFC の脆弱性により、リモートでコードが実行される

• mfc40u.dll
• 4.1.0.6141
• mfc42u.dll
• 6.0.9792.0

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

GDI の脆弱性により、リモートでコードが実行される

• gdi32.dll
• 5.00.2195.7133
• mf3216.dll
• 5.00.2195.7133
• user32.dll
• 5.00.2195.7133
• win32k.sys
• 5.00.2195.7133
• win32k.sysuniproc
• 5.00.2195.7133

gdi32.dllの最新はKB956802の5.00.2195.7205
win32k.sysの最新はKB954211の5.00.2195.7194

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

リモート インストール サービス (RIS) の脆弱性により、リモートでコードが実行される

• 更新ファイルなし

Serverを除いて、RISはデフォルトでインストールされない
そのため、このHotfixは不要と考えて良い
BASICかHFか調べていない

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1
HKLM,"System\CurrentControlSet\Services\TFTPD\Parameters", "Masters", 0x00000002, ""

Windows Active Directory の脆弱性により、リモートでコードが実行される

• ntdsa.dll
• 5.00.2195.7135
• sp3res.dll
• 5.00.2195.7135

sp3res.dllの最新はKB957097の5.0.2195.7151
Server用であり不要のはずだが、何故かWUに表示されている

マイクロソフト社員のコメント
Active Directory(LDAP)に関する更新ですので、Windows 2000 Server等のServer OSのみが影響をうけます。 今回のWindows 2000向けの更新では、ntdsa.dllというファイルを更新しているのですが、 このファイルは、Windows 2000 Serverだけではなく、Windows 2000 Professionalにも存在します。 ファイルが、存在はしますが、脆弱なコード部分を悪用する手段(入り口)が Windows 2000 Professionalには存在しないため、 「影響を受けない」と評価しています。 Microsoft Updateでは、 脆弱なコードを持つモジュールをベースに配信を行っており、そのため、Windows 2000 Professionalにも更新プログラムが配信されているという訳です。

BASICで登録されないので、レジストリを用意して、NOREGに入れる予定

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1
HKLM,SYSTEM\CurrentControlSet\Services\EventLog\Directory Service\NTDS SDPROP,
"EventMessageFile",0x20020,"%SystemRoot%\System32\ntdsmsg.dll;%SystemRoot%\System32\sp3res.dll"

SNMP の脆弱性により、リモートでコードが実行される

• snmp.exe
• 5.00.2195.7112

nLite「SNMP」を削除しているため不要
SNMPはデフォルトでインストールされない
そのため、このHotfixは不要と考えて良い
必要な人はNOREGへ

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Microsoft OLE ダイアログの脆弱性により、リモートでコードが実行される

• oledlg.dll
• 5.00.2195.7114

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Windows Update または Microsoft Update から更新プログラムをインストールすると、アクセス違反エラーが発生し、システムが応答を停止しているように見えることがある

• msi.dll
• 3.1.4000.4033

Windows Updateを利用していなければ不要
WindowsUpdateAgent30-x86.exeにて解決したらしいが、WUA3.0にmsi.dllは含まれていない
WUからHotfixをインストールすることはないが現状は統合している

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

HTML ヘルプの ActiveX コントロールの脆弱性により、リモートでコードが実行される

• hhctrl.ocx
• 5.2.3790.620

nLite「ヘルプエンジン」を削除していれば不要
私は統合していない

レジストリ情報

CSRSS の脆弱性により、リモートでコードが実行される

• winsrv.dll
• 5.00.2195.7135
• winsrv.dlluniproc
• 5.00.2195.7135

同じレジストリ情報を別のHotfixがもっているためNOREGへ

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Windows カーネルの脆弱性により、特権が昇格される

• ntkrnlmp.exe
• 5.00.2195.7133
• ntkrnlpa.exe
• 5.00.2195.7133
• ntkrpamp.exe
• 5.00.2195.7133
• ntoskrnl.exe
• 5.00.2195.7133
• mup.sys
• 5.00.2195.7006

PCの構成によって入るexeファイルが異なる

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

RPC の脆弱性により、サービス拒否が起こる

• rpcrt4.dll
• 5.00.2195.7090

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Win32 API の脆弱性により、コードが実行される

• kernel32.dll
• 5.00.2195.7135
• mpr.dll
• 5.00.2195.7134
• kernel32.dlluniproc
• 5.00.2195.7135

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Microsoft Windows Schannel のセキュリティ パッケージの脆弱性により、リモートでコードが実行される

• schannel.dll
• 5.00.2195.7136

nLiteにより消滅（どれで消えたかは調べていない）したため不要？

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Microsoft エージェントの脆弱性により、リモートでコードが実行される

• agentdpv.dll
• 2.00.0.3426
• sp3res.dll
• 5.00.2195.7136

sp3res.dllの最新はKB957097の5.0.2195.7151
nLite「MS Agent」を削除していれば不要
レジストリに関しても、KB958215に同じ内容が含まれている
私は統合していない

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1
HKLM,"SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
{F5BE8BD2-7DE6-11D0-91FE-00C04FD701A5}","Compatibility Flags", 0x00010001, 0x400

インターネット インフォメーション サービスの脆弱性により、特権の昇格が起こる

• infocomm.dll
• 5.00.0984

nLite「インターネットインフォメーションサービス(IIS)」を削除していれば不要
Serverを除いて、インターネットインフォメーションサービス(IIS)はデフォルトでインストールされない
そのため、このHotfixは不要と考えて良い
必要な人はNOREGへ

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

OLE オートメーションの脆弱性により、リモートでコードが実行される

• oleaut32.dll
• 2.40.4532

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

LSASS の脆弱性により、ローカルで特権が昇格される

• lsasrv.dll
• 5.00.2195.7147
• sp3res.dll
• 5.00.2195.7136

sp3res.dllの最新はKB957097の5.0.2195.7151

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

VBScript および JScript スクリプト エンジンの脆弱性により、リモートでコードが実行される

• jscript.dll
• 5.6.0.8835
• vbscript.dll
• 5.6.0.8835

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

DNS クライアントの脆弱性により、なりすましが行われる

• dnsapi.dll
• 5.00.2195.7151
• dnsrslvr.dll
• 5.00.2195.7150

dnsapi.dllの最新はKB951748の5.00.2195.7158
私は統合していない

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Microsoft Jet Database Engineの脆弱性により、リモートでコードが実行される

• dao360.dll
• 3.60.9512.0
• msexch40.dll
• 4.00.9502.0
• msexcl40.dll
• 4.00.9502.0
• msjet40.dll
• 4.00.9511.0
• msjetol1.dll
• 4.00.9502.0
• msjint40.dll
• 4.00.9502.0
• msjter40.dll
• 4.00.9502.0
• msjtes40.dll
• 4.00.9502.0
• msltus40.dll
• 4.00.9502.0
• mspbde40.dll
• 4.00.9502.0
• msrd2x40.dll
• 4.00.9502.0
• msrd3x40.dll
• 4.00.9502.0
• msrepl40.dll
• 4.00.9502.0
• mstext40.dll
• 4.00.9502.0
• mswdat10.dll
• 4.00.9502.0
• mswstr10.dll
• 4.00.9502.0
• msxbde40.dll
• 4.00.9502.0

不要と思っていたが、デフォルトではMicrosoft Jet 4.0 Database Engineが含まれている
nLite「Jet データベースエンジン」を消していれば不要、と思いがちだがdao360.dllのみが残る
nLite「MDAC」も消していればこのHotfixは不要
ノートPCでは統合していないが、WU用に残しているデスクトップでは統合している

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

イベントシステムの脆弱性により、リモートでコードが実行される

• es.dll
• 2000.2.3550.0

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

メッセージ キューの脆弱性により、リモートでコードが実行される

• mq1sync.exe
• 5.00.0807
• mqbkup.exe
• 5.00.0807
• mqmig.exe
• 5.00.0807
• mqsvc.exe
• 5.00.0807
• mq1repl.dll
• 5.00.0807
• mqads.dll
• 5.00.0807
• mqcertui.dll
• 5.00.0807
• mqclus.dll
• 5.00.0807
• mqdbodbc.dll
• 5.00.0805
• mqdscli.dll
• 5.00.0807
• mqdssrv.dll
• 5.00.0807
• mqlogmgr.dll
• 2000.2.3516.0
• mqmigrat.dll
• 5.00.0807
• mqoa.dll
• 5.00.0807
• mqperf.dll
• 5.00.0807
• mqqm.dll
• 5.00.0807
• mqrperf.dll
• 5.00.0805
• mqrt.dll
• 5.00.0807
• mqsec.dll
• 5.00.0807
• mqsnap.dll
• 5.00.0807
• mqupgrd.dll
• 5.00.0807
• mqutil.dll
• 5.00.0807
• msmqocm.dll
• 5.00.0805
• msmq.cpl
• 5.00.0801
• mqac.sys
• 5.00.0807

nLite「Message Queuing(MSMQ)」を削除していれば不要
MSMQはデフォルトでインストールされていない
WUで求められるのは、MSMQを構成するDLLがインストールされていると判断されているためらしい
私は統合していない

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

DirectXの脆弱性により、リモートでコードが実行される

• quartz.dll
• 6.05.2600.1316

当然だが、DirectX9を導入していなければ不要

DNSの脆弱性により、なりすましが行われる

• dnsapi.dll
• 5.00.2195.7158
• msafd.dll
• 5.00.2195.7158
• mswsock.dll
• 5.00.2195.7158
• afd.sys
• 5.00.2195.7158
• tcpip.sys
• 5.00.2195.7162

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Microsoft Image Color Management Systemの脆弱性により、リモートでコードが実行される

• mscms.dll
• 5.00.2195.7162

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

インターネット インフォメーション サービスの脆弱性により、特権の昇格が起こる

• msw3prt.dll
• 5.00.2195.7165
• win32spl.dll
• 5.00.2195.7188

nLite「インターネットインフォメーションサービス(IIS)」を削除していれば不要
Serverを除いて、インターネットインフォメーションサービス(IIS)はデフォルトでインストールされない
そのため、このHotfixは不要と考えて良い
必要な人はNOREGへ

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Windowsカーネルの脆弱性により、特権が昇格される

• win32k.sys
• 5.00.2195.7194
• win32k.sysuniproc
• 5.00.2195.7194

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される

• msxml3.dll
• 8.100.1048.0

Windows2000のデフォルトであるXMLコアサービス3.0で記述する
HFと思いがちだが、BASICへ
私はIEでブラウジングしないのでNOREG

レジストリ情報

GDIの脆弱性により、リモートでコードが実行される

• gdi32.dll
• 5.00.2195.7205
• mf3216.dll
• 5.00.2195.7133

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

SMB の脆弱性により、リモートでコードが実行される

• msv1_0.dll
• 5.00.2195.6926
• netlogon.dll
• 5.00.2195.7011
• sp3res.dll
• 5.00.2195.7151
• mrxsmb.sys
• 5.00.2195.7174
• rdbss.sys
• 5.00.2195.7174

BASICでいけそうだが無理っぽい
別レジストリ用意

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1
HKLM,"SYSTEM\CurrentControlSet\Control\Lsa","DisableLoopbackCheck",0x00010003,0x0

Server サービスの脆弱性により、リモートでコードが実行される

• netapi32.dll
• 5.00.2195.7203

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

SMB の脆弱性により、リモートでコードが実行される

• srv.sys
• 5.00.2195.7222

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1

ActiveX Kill Bitのセキュリティ更新プログラム

• 更新ファイル無し

セキュリティ情報ではなく、セキュリティ アドバイザリ
レジストリの「～"Compatibility Flags",0x00010001,0x400」について軽く触れておく
これはkillbitと呼ばれる設定で、IEで特定のActiveXコントロールの実行を禁止にしている
特定の{ActiveXコントロールのCLSID}に対して適用させているわけだが、
IEエンジンを用いてネットをしていなければ関係ないはずである
私はIEでブラウジングしないので統合していない

レジストリ情報

Windows Autorun (自動実行) 用の更新プログラム

• shell32.dll
• 5.00.3900.7155

同じレジストリ情報をKB908531がもっているが、こちらを適用する
HFと思いがちだが、BASICでHFSLPHIV.INFにレジストリの追加を確認
このHotfixはアドバイザリ、KB921398はセキュリティ更新だったが内容が同じのため不要になるはず
念のために次回の再セットアップ時にKB921398が不要になったかどうか確認する

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached",
"{750FDF0E-2A26-11D1-A3EA-080036587F03} {000214E8-0000-0000-C000-000000000046}",0x10003,0x1
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached",
"{1e9b04fb-f9e5-4718-997b-b8da88302a47} {000214e8-0000-0000-c000-000000000046}",0x10003,0x1
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached",
"{1e9b04fb-f9e5-4718-997b-b8da88302a48} {000214e8-0000-0000-c000-000000000046}",0x10003,0x1
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached",
"{1cdb2949-8f65-4355-8456-263e7c208a5d} {000214e6-0000-0000-c000-000000000046}",0x10003,0x1
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached",
"{A4DF5659-0801-4A60-9607-1C48695EFDA9} {000214E6-0000-0000-C000-000000000046}",0x10003,0x1

インターネット インフォメーション サービスの脆弱性により、特権の昇格が起こる

• npdsplay.dll
• 3.0.2.629

nLite「Windows Media Player 6.4」を削除していれば不要
私は統合していない

インターネット インフォメーション サービスの脆弱性により、特権の昇格が起こる

• dxmasf.dll
• 6.4.09.1133
• strmdll.dll
• 4.1.00.3936

nLite「Windows Media Player 6.4」を削除していれば不要
私は統合していない

Windows Media コンポーネントの脆弱性により、リモートでコードが実行される

• msv1_0.dll
• 5.00.2195.6926
• netlogon.dll
• 5.00.2195.7011
• sp3res.dll
• 5.00.2195.7151
• strmdll.dll
• 4.1.00.3937
• logagent.exe
• 4.1.00.3937

nLite「Windows Media Player 6.4」を削除していれば不要
msv1_0.dll、sp3res.dllとレジストリに関しては、KB957097と同じであるためNOREGへ
私は統合していない

HKLM,SYSTEM\CurrentControlSet\Control\Lsa,"DisableLoopbackCheck",0x10003,0x0

Windows Media Player の URL スクリプト コマンド機能の更新プログラム

• msdxm.ocx
• 6.4.09.1128

msdxm.ocxの最新はKB891861(ロールアップ)の6.4.09.1129
レジストリも特にないが、何故かWUのリストから消えない
軽く調べると不死鳥Hotfixとか呼ばれているようで、WMPの再インストとかして消えるらしい
私はリストから消すことが目的じゃないので、試行すらしていない

ActiveX Kill Bitのセキュリティ更新プログラム

• 更新ファイル無し

デフォルトのWin2kにSP4、IE6、DirectX9のみを適用している状態だと、WUに表示されていたもの
以下のレジストリを登録しているだけ
このレジストリはIEの累積セキュリティに含まれている
累積セキュリティのファイルだけ更新してもWUのリストから消えた

HKLM,"SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
{00000566-0000-0010-8000-00AA006D2EA4}","Compatibility Flags", 0x00010001, 0x400

悪意のあるソフトウェアの削除ツール

• mrt.exe
• verは記載せず
• mrtstub.exe
• verは記載せず

毎月のWUで大抵更新される
そのためVer等の記述は省略
KB内には上の2ファイルしかないのでNOREGでいいと思うが、導入したことないので確証はない
私は統合していない

Vector Markup Language の脆弱性により、リモートでコードが実行される

• vgx.dll
• 5.00.3854.2500

通常はHFだが、他のIE用Hotfix同様、私はNOREGに入れている

HKLM,"Software\Microsoft\Active Setup\Installed Components
\{90b0bef8-22d6-40a8-92c8-155434fc112f}",,,"%COMPID%"
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{90b0bef8-22d6-40a8-92c8-155434fc112f}","IsInstalled",0x10001,01,00,00,00    
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{90b0bef8-22d6-40a8-92c8-155434fc112f}","Version",,"%VERSION%"
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{90b0bef8-22d6-40a8-92c8-155434fc112f}","ComponentID",,"%COMPID%"

Internet Explorer 用の累積的なセキュリティ更新プログラム

• browseui.dll
• 5.00.3870.1500
• danim.dll
• 6.01.09.0729
• dxtmsft.dll
• 6.01.09.0729
• iepeers.dll
• 5.00.3870.1500
• inseng.dll
• 5.00.3870.1500
• jsproxy.dll
• 5.00.3870.1500
• mshtml.dll
• 5.00.3870.1500
• msrating.dll
• 5.00.3870.1500
• pngfilt.dll
• 5.00.3870.1500
• shdocvw.dll
• 5.00.3870.1500
• shlwapi.dll
• 5.00.3900.7201
• url.dll
• 5.51.3870.1500
• urlmon.dll
• 5.00.3870.1500
• wininet.dll
• 5.00.3870.1500

通常はHFだが、他のIE用Hotfix同様、私はNOREGに入れている

レジストリ情報

Internet Explorer 用のセキュリティ更新プログラム

• mshtml.dll
• 5.00.3872.1000

通常はHFだが、他のIE用Hotfix同様、私はNOREGに入れている
IE6用のHotfixとファイルのVerが違うだけで、他は同じ

HKLM,"Software\Microsoft\Active Setup\Installed Components
\{80b81c71-14cd-41c3-9e8c-08b9e06d02ef}",,,"%COMPID%"
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{80b81c71-14cd-41c3-9e8c-08b9e06d02ef}","IsInstalled",0x10001,01,00,00,00
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{80b81c71-14cd-41c3-9e8c-08b9e06d02ef}","Version",,"%VERSION%"
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{80b81c71-14cd-41c3-9e8c-08b9e06d02ef}","ComponentID",,"%COMPID%"
HKLM,"Software\Microsoft\Active Setup\Installed Components
\{80b81c71-14cd-41c3-9e8c-08b9e06d02ef}","PackageVersion",0x00010001,1

Outlook ExpressおよびWindowsメール用のセキュリティ更新プログラム

申し訳ないが、残す気は微塵も無いので調べない
当然統合していない

DirectXの脆弱性により、リモートでコードが実行される

• quartz.dll
• 6.01.09.0734

DirectX7.0用のHotfix
nLite「DirectX」を削除していれば不要

HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","BufferPolicyReads",0x10001,1