Apple、複数の脆弱性を修正した『QuickTime 7.3』をリリース

『QuickTime』のユーザーが危険にさらされている。それは、俗悪なビデオコンテンツを目にするおそれがあるどころの話ではない。Apple は5日、複数の脆弱性を修正した QuickTime の新版『QuickTime 7.3』をリリースした。QuickTime のセキュリティ更新版が出るのは、この1か月あまりで2回目だ。

QuickTime 7.3 が対応した脆弱性は、識別番号で数えて7件に及ぶ。いずれも『Windows』版と『Mac OS X』版の両方に存在する。

そのうちの2件は、ともに QuickTime のイメージ記述処理に関係する。まず『CVE-2007-2395』は、不正なイメージ記述アトムを持つ QuickTime ファイルを開くだけで、任意コード実行に至るおそれがあるという問題だ。Apple は、QuickTime イメージ記述の追加検証を行なうことで、この脆弱性に対応した。もう一方の『CVE-2007-3750』は、『STSD』アトムの処理時にヒープバッファのオーバーフローが発生し、細工した QuickTime ファイルを開くことで任意コード実行に至るおそれがあるという問題だ。こちらも、STSD アトムの追加検証を行なうことで問題を解決した。

新版の QuickTime では、『Java』に関係する脆弱性にも対応した。『CVE-2007-3751』は、「信頼性のない Java アプレットによる上位アクセス権の取得を許しかねない」複数の脆弱性が存在するという問題だ。Apple は、信頼性のない Java アプレットから QuickTime にアクセスできないようにして、この問題を修正した。

QuickTime は、動画再生のみを行なうメディアプレーヤーだと思われがちだが、静止画像の表示も可能だ。QuickTime 7.3 では、静止画像の処理に関する2件の脆弱性にも対応している。『CVE-2007-4672』と『CVE-2007-4676』はともに、『PICT』形式の画像ファイル処理方法に関連した脆弱性だ。ユーザーが悪質な画像ファイルを開くと、スタックバッファまたはヒープバッファのオーバーフローや、アプリケーションのクラッシュが発生し、いずれの場合にも任意コード実行を許すおそれがあった。Apple は、PICT ファイルの追加検証を行なうことでこの問題を修正している。