japan.internet.comThe Internet & IT Network
RSS
  • ニュース
  • コラム
  • リサーチ
  • ヘッドライン
  • 特集
  • ブログ
  • プレスリリース
  • 専門チャンネル
  • イベント
  • ランキング
  • ニュースメール
2009年7月4日
文字サイズ文字サイズ小文字サイズ中文字サイズ大
Webテクノロジー2008年1月12日 11:40

『QuickTime』に新たなバッファオーバーフローの脆弱性

海外海外internet.com発の記事
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • Buzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
Apple のソフトウェア『QuickTime』にとって、昨年は多数の脆弱性が大きな話題となった厳しい年だった。同社にとっては不本意なことだが、今年もその傾向が続くのかもしれない。

今回、セキュリティ研究者の Luigi Auriemma 氏が『QuickTime 7.3.1』にバッファオーバーフローの脆弱性が存在すると報告した。同氏のセキュリティ勧告によると、HTTP プロトコルのエラーメッセージ処理の際に、接続状態の情報を液晶パネルのような部分に表示する処理で、バッファーオーバーフローが発生するという。

Auriemma 氏は同脆弱性について、任意コード実行やサービス不能化 (DoS) 攻撃を招くおそれがあると語った。

Auriemma 氏は勧告の中で、この脆弱性を悪用する方法の一例として、サーバー側の RTSP ポートをふさいだ状態で RTSP プロトコルを使って接続させ、自動的に HTTP プロトコル接続に切り替わったところで、細工したエラーメッセージを返すという手法に言及した。同氏の勧告では、実証コードも示している。

Auriemma 氏は、この問題を修正する方法については何も示唆していない。また現時点で、Apple もこの問題にはまだ対応していない。セキュリティ会社 Secunia は、この問題の深刻度について、5段階中上から2番目とかなり高めの評価を与えた。また US-CERT もセキュリティ勧告を出しており、QuickTime ユーザーのための自衛手段を2つ提示した。

US-CERT が提示している1つ目の自衛手段は、QuickTime をアンインストールしてしまい、Apple の更新を待つことだ。ただし US-CERT は、QuickTime をアンインストールすることで、同ソフトウェアに依存する『iTunes』のようなアプリケーションが実行できなくなったり、一部の機能を利用できなくなるといった影響が発生すると注意している。

US-CERT が示した2つ目の自衛手段は、プロキシやファイヤーウォールの設定で RTSP プロトコルによる接続を禁止する方法だ。

関連テーマ
このエントリーを含むはてなブックマーク この記事をクリップ!
BuzzurlにブックマークBuzzurlにブックマーク Yahoo!ブックマークに登録
この記事をokyuuへインポート
最新トップニュース
データメーション
【データメーション】
中国が「Green Dam」フィルタ規制を撤回(7月1日)
Graphic Design Forum
【Graphic Design Forum】
Chris Dickman(6月25日)
プライバシー ジャパン・インターネットコム版
【プライバシー ジャパン・インターネットコム版】
グーグル・ストリートビューの問題について総務省の見解(6月23日)
エンジニアの独り言
【エンジニアの独り言】
システムを「使う」時代のエンジニアに求められるもの(6月2日)
最新ハイテク講座
最新ハイテク講座
電気は家庭でつくる時代へ!燃料電池「エネファーム」(7月3日)
アクセス解析で見るWebマーケティング
アクセス解析で見るWebマーケティング
決定力を探るアクセス解析(7月3日)
百式のネットビジネス研究
百式のネットビジネス研究
ファーストフードを高級っぽく盛り付けて紹介している「Fancy Fast Food」(7月3日)
週刊-サイト別アクセス状況データ
週刊-サイト別アクセス状況データ
ビデオリサーチインタラクティブ調査(月間インターネットオーディエンスデータ)(7月2日)
成約率、反応率を上げる Web 文章術
成約率、反応率を上げる Web 文章術
言葉がダイレクトにキャッシュを生む(7月2日)
不況時代の Web ビジネス最適化講座
不況時代の Web ビジネス最適化講座
アクセス解析エキスパートここだけの話、Web コンシェルジュの“勉強法”こっそり教えます(7月2日)
「Webからの脅威」―その傾向と最新対策
「Webからの脅威」―その傾向と最新対策
不正プログラムの分類(7月1日)
DevX
DevX
JavaScriptとDOMによる動的なWebページの作成(6月30日)
エンジニア転職ノウハウ開発室
エンジニア転職ノウハウ開発室
今のままで大丈夫?3匹の子ブタ的キャリア危険度診断(6月30日)
アイレップの SEM フロンティア
アイレップの SEM フロンティア
Web サイトは「無駄な穴のたくさん開いたじょうご」〜サイト成果向上の基本的な考え方(6月30日)
Copyright 2009 Japan Internet.com K.K. All Rights Reserved.http://www.internet.com/