ニュース
2004/01/19 16:31:00 更新
Microsoftの新パッチに、自社製ツールとの非互換の問題が浮上
MDACのセキュリティパッチとして提供されたMS04-003の適用で問題が起きているとの報告がなされている。パッチ自身の問題ではなく、Microsoft製のスキャン・パッチ用ツールとの非互換が問題になっている。
Microsoft Data Access Component(MDAC)なるものに関連するセキュリティ脆弱性を修正するためにリリースされたMicrosoftの最新パッチ、MS04-003だが、同社自身のパッチ・スキャン用ツールがうまく適用されるかどうかに関して議論が持ち上がっている。
人気の高いオンラインフォーラムのNTBugtraqでは、MicrosoftのMDAC用パッチをサーバおよびワークステーションに適用しようとしたところ、問題に遭遇したとする多数の報告が寄せられた。
ベンダーのConfigureSoftでもこの問題が起きた。同社の製品管理担当副社長であるランディー・ストロー氏によれば、これはパッチ自身ではなく、Microsoftのパッチ・スキャン・ツールであるMicrosoft Baseline Security Analyzer(MBSA)、Software Update Services(SUS)、Windows Updateが問題なのだという。この3本のソフトウェアがMDACのパッチングプロセスに対して「誤射」しているのだという。MDACはMicrosoftのアプリケーションがデータベースにアクセスするのに広く用いられているソフトウェアコンポーネントである。
ConfigureSoftによれば、これらのツールはユーザーに対し、このパッチを適用するためには特定のMicrosoft Service Packを追加しなければならないというメッセージを表示しない、という問題を引き起こす。
「これらのツールは依存性の問題を検知してくれない。MDACは15とおりくらいの組み合わせがある複雑なもので、バージョン2.5、2.6、2.7などが特定のService Packを必要とする」とストロー氏。ConfigureSoftは自社ツールのSecurity Manager Updateを開発しており、パッチの適用をMicrosoft製ツールとともにテストしている。
適切なService Packを適用しないと、「パッチは働かない」とストロー氏。上記のMicrosoft製ツール3種類は、「パッチをインストールする必要があるということを知らせもしない」という。
ConfigureSoftによれば、Shavlik Technologiesが開発した無償ツールのHFNetChkがMicrosoftのWebサイトに投稿され、これはMDACパッチに対し正しく動作するという。
MicrosoftはMDACに関連した数件の苦情を調査しているが、これまでにMDACのインストールに関連した広範囲な問題の報告は受けていないという。Microsoftは米国およびカナダのユーザーに対し、パッチに関する問題があった場合、製品サポートの1-866-PCSAFETYに電話するように呼びかけている。同社はまた、パッチ用ツールとMDACの問題に関し、さらに調査を行っていくと述べている。
関連記事
MS、1月の月例パッチでWindows 2000/XPなどの脆弱性に対応[IDG Japan]
Copyright(C) IDG Japan, Inc. All Rights Reserved.
