マイクロソフトは1月23日,「Windows Update」サイトにアクセスすると,適用したはずのパッチが「重要な更新」として再度表示される場合があることを明らかにした。再度表示されるパッチは,1月14日に公開された 「Microsoft Data Access Components 用セキュリティ問題の修正プログラム (KB832483)」。パッチの適用対象であるMicrosoft Data Access Components(MDAC)のバージョンが古い場合にこのトラブルが発生するという。MDACをバージョンアップしてからパッチを適用すれば,このトラブルを解消できる。
「Microsoft Data Access Components 用セキュリティ問題の修正プログラム (KB832483)」は,「MDAC 機能のバッファ オーバーランにより,コードが実行される (832483) (MS04-003) 」のセキュリティ・ホールを解消するために公開されたパッチである(関連記事)。このセキュリティ・ホールは,データベースにアクセスするためのプログラム・コンポーネント群であるMDACに見つかった。MDACはWindows Me/2000/XP/Server 2003にデフォルトで含まれる。Windows NT 4.0 Option PackやSQL Server 2000,Microsoft Accessなどのアプリケーション・ソフトにも含まれるので,Windows Me/2000/XP/Server 2003以外のマシンにもインストールされている可能性がある。
このセキュリティ・ホールを解消するためのパッチは,MDAC 2.5 Service Pack 2(SP2)/2.5 SP3/2.6 SP2/2.7/2.7 SP1/2.8に適用できる。現在インストールされているMDACのバージョンがこれらよりも古い場合には適用できない。古いMDACを使っている場合には,自分ではパッチを適用したつもりでも,実際には適用されていないことになる。このため,このユーザーがWindows Updateにアクセスすれば,このパッチは「重要な更新」として何度でも表示される。
このトラブルを解消するには,パッチが適用可能なMDACにバージョンアップしてからパッチを適用すればよい(Windows Updateを実施すればよい)。現在インストールされているMDACのバージョンの調べ方は,マイクロソフトが公開する「MDAC セキュリティ修正モジュールの適用に関連する補足事項」や「MDAC のバージョンを確認する方法」に詳しい。新しいバージョンのMDACは「Universal Data Access 関連ダウンロード」からダウンロードできる。
「MDAC セキュリティ修正モジュールの適用に関連する補足事項」には,「アップグレードする MDAC バージョンについては,そのバージョンがセキュリティ修正モジュールの適用対象の MDAC バージョンであれば,いずれのバージョンにアップグレードしてもセキュリティ修正モジュールの適用には影響ありません」と記述されている。確かに,今回のパッチを適用する上では,適用対象であればどのバージョンでもかまわない。しかしながら,過去に見つかったセキュリティ・ホール対策として,MDAC 2.7以上にバージョンアップしたほうがよい(関連記事)。
最新版はMDAC 2.8であるが,MDAC 2.8については詳しい情報が公開されていない。そのため,「今週のSecurity Check[Windows編]」の筆者である山下眞一郎氏は,MDAC 2.8をデフォルトで含むWindows Server 2003 以外では,MDAC 2.7 SP1 Refreshを利用するよう勧めている(関連記事)。
MDAC 2.7 SP1 Refreshは「Microsoft Data Access Components 2.7 SP1 Refresh」のページからダウンロードできる。インストールする際の注意点が,同ページの「ダウンロードの説明」や「Microsoft Data Access Components のバッファ オーバーランにより,コードが実行される (Q329414) (MS02-065) 」に記載されているので,これらに目を通してからインストールしたい。
パッチが適用できたかどうかは,Windows Updateにアクセスすると表示される「履歴を表示」で参照できる。レジストリ情報でも確認できる。具体的には,「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q832483」のレジストリ・キーが作成されていれば,きちんと適用されている。Windows Server 2003 64 Bit Edition の場合だけ,「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB832483」が作成される。
【2月3日 IT Pro追記】マイクロソフトの「トラブル・メンテナンス速報」によれば,2月3日にこのトラブルは解消された(関連記事)。【以上,2月3日追記】
◎参考資料
◆トラブル・メンテナンス速報
◆Windows Update に接続すると「Microsoft Data Access Components 用セキュリティ問題の修正プログラム (KB832483)」が何度も表示される
◆「835173 INF: MDAC セキュリティ修正モジュールの適用に関連する補足事項」
◆「絵でみるセキュリティ情報 MS04-003 : Windows の重要な更新」
◆「絵でみるセキュリティ情報 修正プログラムが正しくインストールされたか確認する方法」
◆「[HOWTO] MDAC のバージョンを確認する方法」
◆「Universal Data Access 関連ダウンロード」
(勝村 幸博=IT Pro)
