米Microsoftは米国時間10月14日,10月12日に公開されたWindowsのパッチを適用すると問題が発生する場合があることを明らかにした。例えば,「Windows Update」を適切に利用できなかったり,「Windowsファイアウォール」が起動しなかったりする場合があるという。対策は特定フォルダのアクセス権限を変更すること。
適用すると問題が発生する場合があるのは,「MSDTC および COM+ の脆弱性により,リモートでコードが実行される (902400) (MS05-051)」の修正パッチ(関連記事)。セキュリティ情報「MS05-051」には,Windowsが標準で備える機能(サービス)に関するセキュリティ・ホールが複数含まれる。影響を受けるのは,Windows 2000/XP/Server 2003。最大深刻度は,Windows 2000とXP SP1が「緊急」,Windows XP SP2/Server 2003/Server 2003 SP1では「重要」である。
【10月17日お詫びと訂正】当初公開した記事には,今回の問題に関する記述に関して誤りがありました。当初,「今回の問題は,『MS05-051』のパッチを適用すると,特定フォルダのアクセス・コントロール・リスト(ACL)が変更されることが原因」としておりましたが,実際には「特定フォルダのアクセス・コントロール・リスト(ACL)を変更した状態で『MS05-051』のパッチを適用すると,特定のサービスやアプリケーションがそのフォルダにアクセスできなくなる場合があることが原因」です。訂正してお詫びします。以下,当初公開した記事の該当部分については修正いたしました。【以上,10月17日お詫びと訂正】
今回の問題は,特定フォルダのアクセス・コントロール・リスト(ACL)を変更したシステムに「MS05-051」のパッチを適用した場合に発生する可能性がある。具体的には,「%Windir%\Registration」のACLのデフォルト設定を変更しているシステムが影響を受ける恐れがある(ここで「%Windir%」は,Windowsシステムがインストールされているドライブおよびフォルダを指す。通常は「C:\Windows」または「C:\Winnt」)。
ACLを変更しているシステムで「MS05-051」のパッチを適用すると,特定のサービスやアプリケーションが「%Windir%\Registration」以下に置かれているシステム・ファイルにアクセスできなくなって,正常に動作しない場合あるという。Microsoftの情報では,以下のような問題が確認されているという。
- Windows インストーラ サービスが開始されない
- Windows ファイアウォール サービス が起動しない
- ネットワーク接続フォルダが空になる
- Windows Updateサイトを適切に利用できない
- ASP(Active Server Pages)ページにアクセスすると,エラー・メッセージが返される
- COM + アプリケーションが起動しない
- 認証ページにログオンできなくなる
対策は「%Windir%\Registration」のACLをデフォルト設定に戻すこと。具体的には,「Administrators」および「SYSTEM」の「フルコントロール」を「許可」,「Everyone」の「読み取り」を「許可」にする。これらは,フォルダの「プロパティ」から確認ならびに変更できる。
問題が発生していない場合には何もする必要はない。米SANS Instituteの情報に記載されているMicrosoftのエンジニアの言葉によれば,「今回の問題は,特別なNTFSパーミッションを設定しているユーザーだけが影響を受ける」という。
◎参考資料
◆Microsoft Security Advisory (909444) Various Issues After Installing Microsoft Security Bulletin MS05-051 on Systems That Have Non-default File Permissions
◆Microsoft Knowledge Base Article 909444 Systems that have changed the default Access Control List permissions on the %windir%\registration directory may experience various problems after you install the Microsoft Security Bulletin MS05-051 for COM+ and MS DTC
◆サポート技術情報 909444 COM と MS DTC に Microsoft セキュリティ情報 MS05-051 をインストールした後,、既定の%windir%\registration ディレクトリのアクセス アクセス制御リスト許可を変更したシステムでさまざまな問題が発生します(10月17日朝時点では機械翻訳)
◆Possible Patch Problems
◆マイクロソフト セキュリティ アドバイザリ (909444)
既定以外のファイルのアクセス許可を持つコンピュータにマイクロソフト セキュリティ情報 MS05-051 で提供された更新プログラムをインストールした後,様々な問題が発生する
