『QuickTime』の脆弱性報告が相次ぐわけは？

Apple は2日、『QuickTime』の最新版『QuickTime 7.4.5』を公開した。この最新版では11件の脆弱性を修正しているが、その約半数は 3Com のセキュリティ部門 TippingPoint Technologies が報告したものだ。

最新版は QuickTime にとって、セキュリティ問題による今年3度目のアップデートとなる。ここ1年ほど、QuickTime の脆弱性が話題に上ることが多い。だからといって、必ずしも QuickTime 自体が根本的に脆弱だということにはならないが、実際のところどうなのだろうか。

TippingPoint のセキュリティ研究者、Cameron Hotchkies 氏は取材に対して次のように答えた。「私は QuickTime の設計に根本的な欠陥があると言うつもりはない。OS およびコンパイラ レベルでのセキュリティ強化により、サーバー側で脆弱性を発見し悪用することはますます困難になっている。それが主因の1つとなって、研究者がクライアント側アプリケーションに集中する傾向が生じている」

Hotchkies 氏は TippingPoint が発見した脆弱性について、公表したバグは2つの情報源から報告を受けたものだと述べている。1つは TippingPoint の社内研究者、もう1つは同社が運営するセキュリティ研究者のネットワーク『Zero Day Initiative (ZDI) 』だ。

「これら QuickTime の問題はすべて、ZDI プログラムを通じて処理された。同プログラムでは当社が指示を出すのではなく、研究者たち自身が研究対象を選択する。ZDI に参加している研究者の多くは独立で仕事をしているため、今回のことはバグ発見者たちの研究対象の選択傾向がそのようになっている、という事情が大きいと考えている」と Hotchkies 氏は述べた。

今回 QuickTime で見つかった一連の脆弱性には、『PICT』形式の画像ファイル処理の問題のほか、QuickTime の「アトム」に関するものも含まれている。Apple の開発者サイトによると、アトムとは QuickTime がほとんどのデータを保存する際に使用する特殊なメモリ構造で、QuickTime の基本的なデータ格納場所となっているものだ。