Apple、『QuickTime』に残っていた未解決の脆弱性を修正

Apple は3日、『QuickTime 7.2 for Windows』のセキュリティ アップデートをリリースした。これにより、1年以上も前から存在が確認されていたにもかかわらず、同社のさまざまな取り組みでも解決されていなかった脆弱性が解消された。

Apple は、URL の処理に関係するコマンドインジェクションの問題を修復する「QuickTime 7.2セキュリティ アップデート」をリリースしたことで、ついにこのセキュリティ上の問題を完全に解決できたと考えている。なお、Apple によると、影響が生じるのは『Windows Vista』および『Windows XP SP2』のみで、『Mac OSX』では同脆弱性による障害は発生しないという。

Apple は同脆弱性について、「アタッカーが悪意を持って作成された QTL ファイルにユーザを誘導して起動させることにより、コマンドライン引数を使ってアプリケーションを起動し、恣意的にコードを実行する可能性」があるとセキュリティ勧告の中で説明している。

これと同様の問題は、Mozilla Foundation の Web ブラウザ『Firefox』が Apple の QuickTime 形式ファイルを呼び出す際にも発生するようだ。Mozilla はこの脆弱性を悪用したゼロデイ攻撃をかわすため、すでに9月の段階でセキュリティ上の問題を修正した最新版 Firefox 2.0.0.7 をリリースしている。

今回 Apple がリリースしたセキュリティ アップデートは、同社の修正対象項目に1年以上も前からリストアップされていた問題を解決するためのものだ。Apple が最初にこの問題の解決を目指したのは、今年3月に複数の脆弱性を修正した新版 QuickTime 7.1.5 をリリースしたときだった。Apple 製品の脆弱性については、今年1月に2人のセキュリティ研究者が立ち上げた、Apple の脆弱性を1か月間に渡り公開するプロジェクト『Month of Apple Bugs』(MOAB) により大きく報じられたが、Apple は QuickTime 7.1.5 でこれら一連の脆弱性の修正を意図していた。

しかし、この脆弱性は、それよりもさらに古いと考えられるものだ。問題が発覚したのは、少なくとも2006年9月にまで遡ることができる。このときセキュリティ団体 GNUCITIZEN を率いるイギリスのハッカー Petko Petkov 氏は、QuickTime において URL の処理に関連する脆弱性が存在し、任意のコードが実行されてしまう可能性があると警告を発していた。