Microsoft の「MS06-040」パッチ、すぐさま適用すべきか否か

Microsoft (NASDAQ:MSFT) が月例更新で修正パッチを公開した直後に、何らかの問題が起きることは、もはや恒例化しているようだ。今回は、パッチの1つに不具合がある可能性が浮上した。ただしこの不具合の存在は、現時点で証拠が乏しい。さらに、同パッチが対応した脆弱性を突く攻撃コードが、すでに出回ってる。こちらについては、Microsoft が確認済みだ。なお同パッチの適用を強く勧める勧告を、珍しく米連邦政府が出している。

問題の修正パッチは、『Windows』に存在するサーバーサービスの脆弱性に対応したセキュリティ情報「MS06-040」のものだ。同脆弱性は、遠隔コード実行を許しかねず、システムの乗っ取りを招くおそれがある。

Microsoft が8月の月例更新を行なった翌日の9日、異例なことに、米国土安全保障省は Windows ユーザーに同パッチを直ちに適用するよう促す勧告を公開した。同省は、『Blaster』や『Sasser』といったワームのような攻撃を招くおそれがあると警告している。

同省は勧告の中で次のように述べた。「Windows ユーザーに対し、このセキュリティパッチの適用が遅れることのないよう強く勧める。セキュリティパッチ公開から24時間以内に、OS の脆弱性を狙って攻撃が始まるという事態が、日常化している」

この警告を裏付けるかのように、同脆弱性に対する攻撃コードが公になっていることについて、Microsoft は11日、セキュリティ勧告「922437」を公開した。これは、同攻撃コードの存在を確認したものだ。Microsoft が検証した所、この攻撃コードは『Windows 2000』および『Windows XP SP1』のみで機能し、『Windows XP SP2』『Windows Server 2003』『同 SP1』では動作しないという。また、MS06-040 パッチ適用後のシステムに、この攻撃コードは効かないことも確認したと同社は述べた。

さて、MS06-040 パッチに不具合が存在する可能性だが、Windows コミュニティサイト『ActiveWin.com』に9日、MS06-040 パッチを適用すると、暗号化された Web トラフィック (HTTPS 接続) に影響が及ぶとの投稿があった。これは、同サイトのニュースページに、ActiveWin.com のユーザー発信のものとして掲載された記事だ。同ユーザーのプロファイルによれば、投稿者はこれまで60本以上の記事を投稿したネットワークエンジニア、となっている。

内容は次のようなものだ。「このパッチにより、HTTPS 接続に不具合が出ることを複数台のマシンで確認した。Live.com にサインインすることができない、あるいはデジタル証明書を使っているページに、確実なアクセスができず (ほとんどできない)、セキュア通信プログラムが機能しない」

同投稿に対し、自分のマシンではそんな問題は起きていないと、不具合の存在を否定するコメントがいくつか集まった。しかしその後、コメントの流れは『Firefox』や『Linux』のシェアに関する口論に陥ってしまい、元記事の投稿者による反論も見当たらない。ActiveWin.com に対し、詳細に関する説明を求めたが、10日の時点で回答はなかった。

Microsoft 広報担当によると、8月の月例更新実施から日が浅く、現時点ではパッチ適用後の問題に関する顧客からの報告を検証できていないという。米国土安全保障省の勧告に関して、同広報担当は、Microsoft も顧客に向け、MS06-040 パッチを可能な限り速やかに適用することを勧めていると述べた。