先日レポートしたアップデートの適用でWindowsがブラックスクリーン状態になる問題について、米Microsoftが1日(現地時間)に調査結果を正式報告した。同社によれば11月の定例パッチが問題を誘発しているとされるレジストリキーをいじる可能性はなく、別の原因によるものだと断定している。これを受け、セキュリティ問題を報告した英PrevxはMicrosoftや関係者への謝罪を記すとともに、Windowsの定期アップデート実施を促すコメントを出している。
Prevxによれば、Windowsのログオンプロセスでは、下記の「Shell」と呼ばれるレジストリキーを通してユーザーシェル(いわゆるExplorerなど)の実行が行われるが、ここに格納された値が「REG_SZ」の文字列であり、NULL終端文字(NTBS)で終了していない場合、正確に値のロードが行われずにログオンに失敗する現象が発生するという。これがブラックスクリーンを誘発する原因であり、マルウェアなどがこの値を書き換えることで意図的に問題を発生させることが可能になるようだ。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Microsoft Security Response Center (MSRC)が同件の問題を受け、11月にWindows Updateを通して配布が行われた「November Security Updates」「Windows Malicious Software Removal Tool」や、そのほかセキュリティ以外のアップデートについて調査を行ったところ、上記のレジストリキーのパーミッション変更を行う挙動は見受けられず、Prevxが報告していたようなブラックスクリーンを誘発するアップデートは存在しないと結論付けている。
MSRCはこのほか、傘下のカスタマーサービスやサポート組織のサポート関連データベースを参照したところ、こうしたブラックスクリーンのような現象は見受けられなかったとも報告している。こうしたブラックスクリーン現象の報告がMicrosoftに持ち込まれていない以上、ブラックスクリーンを誘発する原因を特定すること自体不可能というのがMSRCの見解だ。また一方で、"Daonol"の名称で呼ばれるマルウェアがこうした現象を引き起こす可能性があることは把握しているとも付け加える。
一方のPrevxも条件を絞ってテストを実施したところ、当該のパッチが問題を引き起こすものではないことを確認したと報告しており、あわせてMicrosoftに対して事態を混乱させたことを謝罪している。だがブラックスクリーンの現象が依然として内在している可能性があり、こうした現象に見舞われたユーザーについては前回も紹介した専用ツールをインターネットからダウンロードして実行する方法を実施するようアドバイスしている。