『QuickTime』に新たなバッファオーバーフローの脆弱性

Apple のソフトウェア『QuickTime』にとって、昨年は多数の脆弱性が大きな話題となった厳しい年だった。同社にとっては不本意なことだが、今年もその傾向が続くのかもしれない。

今回、セキュリティ研究者の Luigi Auriemma 氏が『QuickTime 7.3.1』にバッファオーバーフローの脆弱性が存在すると報告した。同氏のセキュリティ勧告によると、HTTP プロトコルのエラーメッセージ処理の際に、接続状態の情報を液晶パネルのような部分に表示する処理で、バッファーオーバーフローが発生するという。

Auriemma 氏は同脆弱性について、任意コード実行やサービス不能化 (DoS) 攻撃を招くおそれがあると語った。

Auriemma 氏は勧告の中で、この脆弱性を悪用する方法の一例として、サーバー側の RTSP ポートをふさいだ状態で RTSP プロトコルを使って接続させ、自動的に HTTP プロトコル接続に切り替わったところで、細工したエラーメッセージを返すという手法に言及した。同氏の勧告では、実証コードも示している。

Auriemma 氏は、この問題を修正する方法については何も示唆していない。また現時点で、Apple もこの問題にはまだ対応していない。セキュリティ会社 Secunia は、この問題の深刻度について、5段階中上から2番目とかなり高めの評価を与えた。また US-CERT もセキュリティ勧告を出しており、QuickTime ユーザーのための自衛手段を2つ提示した。

US-CERT が提示している1つ目の自衛手段は、QuickTime をアンインストールしてしまい、Apple の更新を待つことだ。ただし US-CERT は、QuickTime をアンインストールすることで、同ソフトウェアに依存する『iTunes』のようなアプリケーションが実行できなくなったり、一部の機能を利用できなくなるといった影響が発生すると注意している。

US-CERT が示した2つ目の自衛手段は、プロキシやファイヤーウォールの設定で RTSP プロトコルによる接続を禁止する方法だ。