Apple の『QuickTime』と『iTunes』に、未対応の新たな脆弱性

Apple Computer の『QuickTime』および『iTunes』について、新たな脆弱性の存在が明らかになっている。今のところ具体的な攻撃事例は発生していない模様だが、Apple の対応が遅れれば、その分攻撃が発生する可能性も高くなる。

セキュリティ会社 eEye Digital Security によると、QuickTime と iTunes の現行版に関係する脆弱性が2件存在し、攻撃者に任意コード実行を許す恐れがあるという。2件の脆弱性はそれぞれ、整数値オーバーフローの問題と、ヒープ領域のオーバーフロー問題だ。eEye は両脆弱性について、Apple に報告し対応を待っている段階のため、詳細な情報は伏せている。

現在のところ Apple は、該当の脆弱性に対する修正パッチを公開していない。同脆弱性は、Apple が1月に公開したセキュリティ更新を適用している場合も含め、『Windows』および『Mac OS X』両プラットフォームにおいて、QuickTime と iTunes の現行版に影響するという。

eEye のセキュリティ製品マネージャ Steve Manzuik 氏は問題の脆弱性について、遠隔コード実行が可能なため、危険度が高いと指摘した。しかし今のところ、これら脆弱性の影響はかなり限定的だと、同氏は述べる。

Manzuik 氏は、取材に対し次のように語った。「これらの脆弱性はわが社の技術者が研究室調査で発見したもので、現時点では、これら脆弱性を突く攻撃が広まっているという証拠は一切ない」

未対応の脆弱性について Apple に問い合わせたが、広報担当者からコメントは得られなかった。なお Manzuik 氏によると、eEye は問題の脆弱性の情報を、2度に渡り Apple に通知したという。

「最初に通知した際には、(Apple から) 何の返答もなかった。そこで2日間待ち、われわれは改めて通知した。そして2度目は、現在問題を調査中との返答があった」と Manzuik 氏は話す。

同氏は「返答のあった2度目の通知を行なったのは3月7日のことだ。以来 Apple からは何の連絡もない。こと脆弱性対応について、ほとんどの場合 Apple はきわめて無口だ」と述べ、Apple に限らず、ソフトウェア ベンダーは外部協力者との連携姿勢について、改善するべきと苦言を呈している。

「(Apple の) 今回の例を考えると、Microsoft と比べてしまう。つまり、他社も見るべき実際的なモデルとして、当社をはじめとするセキュリティ研究者から上がる報告に対し、Microsoft がいかに応対しているかという点に意識が向く」と Manzuik 氏は述べた。

「Microsoft のモデルにも、まだ改良の余地がある。しかし彼らの対話姿勢は、われわれが協力したことのある他のいかなるベンダーより優れている」