|
|
| Webテクノロジー | 2004年10月29日 00:00 |
|
『QuickTime』に脆弱性、Apple がセキュリティアップデート 著者: Ryan Naraine オリジナル版を読む ▼2004年10月29日 00:00 付の記事 ■海外internet.com発の記事 Apple Computer (NASDAQ:AAPL) は27日、『QuickTime』にコンピュータ乗っ取り攻撃などを許しかねない2件の脆弱性がある、と警告するセキュリティ勧告を発表した。 1つ目の脆弱性 (CVE ID: CAN-2004-0988) は、HTML 環境下においてバッファオーバーフロー攻撃を受ける恐れがあるというもので、Apple は同日行なった月例『セキュリティアップデート』で、その脆弱性を修正した。この脆弱性は、英国のセキュリティ調査会社 Next Generation Security (NGS) Software の John Heasman 氏から報告を受けたものだった。 セキュリティ勧告は、攻撃者がこの脆弱性を突き、特別に細工した HTML ドキュメントを介してユーザーのシステム上で任意のコードを実行する恐れがある、と警告している。 同勧告には次のような説明がある。「整数値の桁あふれに伴ってビット幅を増やすために行なう符号拡張で、小さな整数が予期せずきわめて大きな整数に変換され、メモリ移動関数の引数として受け渡される恐れがある。アップデートでは、桁あふれを予防するよう修正した」。なお、同脆弱性は Windows 版にのみ存在し、Mac 版には存在しないという。 2つ目の脆弱性 (CVE-ID: CAN-2004-0926) は、BMP 形式画像のデコード処理方法の問題だ。ヒープメモリを上書きし、画像に隠された任意のコードの実行を許可する恐れがあるという。今回のアップデートで、デコード処理方法を修正した。この脆弱性は Windows 版だけでなく『Mac OS X』版にも影響するが、Mac OS X 版に関しては9月の月例セキィリティアップデートですでに修正していた。 IT セキュリティサービスの Secunia は同脆弱性について、その深刻度を5段階中2番目の高さにランクし、ユーザーに対してバージョン「6.5.2」にアップデートするよう勧告している。 なお、Apple は今回、『Apple Remote Desktop』の脆弱性に関するセキュリティ勧告も発表するとともに、それを修正した。悪意を持ったユーザーがこの脆弱性を突いて、ルート権限を奪う恐れがあったという。 |
| トップページ | 画面トップ |
|
||
|
||
|
