Microsoftが米国時間10月11日に公開した月例のセキュリティパッチで、また問題が発生している。
問題のパッチは、メディアのストリーミング再生に利用されるWindowsコンポーネント「DirectShow」に存在した不具合を修正する「緊急」レベルのもの。Microsoftは米国時間19日、間違ったパッチを適用したことで、Windows 2000ユーザーの一部が、脆弱性が残っていることに気付かず、マシンを利用し続けてしまっていることを明らかにした。
Microsoftは電子メールで声明を発表し、「ユーザーの一部が、DirectXの修正用に間違ったアップデートを入手してしまっている。これらのユーザーは、自身のマシンの安全が確保されたと思いこんでいる可能性がある。間違ったアップデートを入手した可能性があるのは、パッチを手動で選択したユーザーだ」と述べた。DirectShowはDirectXに含まれるコンポーネントの1つである。
Microsoftは19日に、この問題に関する勧告をサイトで公開した。同社が10月の月例パッチに関する勧告を公開するのは、先週に引き続きこれで2度目だ。前回の勧告で同社は、緊急レベルの脆弱性に対処するはずのパッチが、特定のセキュリティ設定をしたマシンに問題を引き起こしていることを明らかにしていた。
2度目の勧告で指摘されているのは、セキュリティ情報「MS05-050」で公開されたパッチ。問題となっているのは、DirectX 8.0または9.0がインストールされたWindows 2000マシンのユーザーがDirectX 7.0用のパッチを利用した場合だ。Microsoftによると、マシンの脆弱性が修正されないにも関わらず、ユーザーにはアップデートが必要であることが知らされなくなってしまうという。
Microsoftのパッチ適用ツールを利用してセキュリティパッチを自動更新するユーザーや、セキュリティ情報サイトの指示に従って適切なパッチを選択したユーザーは、この問題の影響を受けないと、Microsoftの関係者は述べる。
ユーザーが間違ったパッチをマシンに適用してしまったのは、Microsoftのセキュリティ情報の説明が不明瞭だったからだと、脆弱性管理企業Preventsysの最高技術責任者(CTO)、Brian Grayekは述べる。「問題の解決に向けては、それが誰であろうが、ベンダー側に説明責任がある」と同氏はいった。
一方、独立系のセキュリティコンサルタントで、Microsoft Most Valuable ProfessionalでもあるSusan Bradleyは、Microsoftによる説明の内容がどうであれ、最終的にはシステム管理者が自らのシステムに関する責任を負うことになると述べる。
Bradleyは電子メールでのインタビューに応じ、「わたしの管理するネットワークについて、Microsoftが最終的に責任をとってくれるわけではない。責任者をとるのは自分自身だ。自分で自ら何をインストールしたのか分からない、それで許されるわけがないのだから」(Bradley)
Micorosoftでは、間違ったアップデートをマシンに適用した可能性のあるWindows 2000ユーザーに対し、ウェブサイトでアドバイスを提供している。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ