US-CERT、『QuickTime』に未対応の脆弱性が存在すると警告

米国土安全保障省のコンピュータ セキュリティ対策機関 US-CERT が、Apple の『QuickTime』に重大な脆弱性が存在し、ユーザーのコンピュータが乗っ取られるおそれがあると警告している。Apple は、まだ同脆弱性に対応していない。

US-CERT は11月30日、セキュリティ勧告『Technical Cyber Security Alert』の中で、この脆弱性について警告を発した。

この問題が自分には影響しないと考えているとしても、『iTunes』をインストールしているなら、考え直してみるべきだ。US-CERT は、iTunes をインストールしていれば、『Windows』ユーザーでも『Mac』ユーザーでもこの危険にさらされていると警告している。iTunes は、非常に人気が高いApple の『iPod』と一緒に使われる。

US-CERT はセキュリティ勧告の中で、「iTunes は QuickTime をインストールするので、iTunes が入っているシステムもやはり危険だ」と述べている。

Apple の広報担当からコメントは得られなかった。

この脆弱性について最初に報告があったのは11月23日だが、US-CERT によると、その後、攻撃コードが出回っていることに気づいたという。

問題の脆弱性は、具体的に言うと QuickTime が『Real Time Streaming Protocol』(RTSP) コンテンツを処理する方法に関連する。細工を施した悪質な QuickTime ファイルを含むサイトを訪問したり、パソコン内の悪質ファイルを開いたりしてしまうと、攻撃者にパソコンを乗っ取られるおそれがある。

US-CERT は、考えられる攻撃手段の1つは、特定のファイルを開くために QuickTime を呼び出すブラウザを利用するやり方だとも警告している。

Apple からまだパッチが提供されていないため、US-CERT は被害者にならないための基本的な行動を推奨している。つまり、信用できない QuickTime ファイルには近づくな、ということだ。