Apple、『QuickTime 7.5』をリリースし5件の脆弱性に対応

3G ネットワーク対応『iPhone 3G』の華やかな発表の陰に隠れてしまっているが、Apple は9日、メディア コンテンツの再生や、人気ジュークボックス ソフトウェア『iTunes』の基盤として用いるソフトウェア『QuickTime』のセキュリティ更新版『QuickTime 7.5』をリリースした。

最新版の QuickTime 7.5 では、ユーザーが攻撃を受ける可能性があった5件の脆弱性を修正している。

このところ Apple は頻繁に QuickTime のセキュリティ更新を繰り返しているが、QuickTime の脆弱性をいくつか発見し更新に貢献したセキュリティ企業の少なくとも1社は、Apple の対応が時宜を得たものと評価している。

今回修正した問題のうち、4件は『Mac OS X』と『Windows』の両プラットフォームに影響するもので、残りの1つは Windows だけに影響するものだ。

Windows だけに関係する脆弱性『CVE-2008-1581』は、PICT 画像ファイルの処理方法に関する脆弱性だ。攻撃者はこの脆弱性を悪用し、任意コードを実行したり、アプリケーションをクラッシュさせることができる。

以下、Windows および Mac OS X の両方に影響する脆弱性を見ていくと、まず『CVE-2008-1583』だが、これも PICT 画像ファイルの処理方法に存在する問題だ。同脆弱性は CVE-2008-1581 と同様に、任意コード実行やアプリケーションのクラッシュを招きかねない。

次に『CVE-2008-1582』は、iTunes コンテンツの標準フォーマットとなっている AAC 形式ファイルの処理方法に関する脆弱性だ。細工した AAC メディアファイルを開くことで、任意コード実行やクラッシュに至る恐れがある。

残り2つの脆弱性は、3Com のセキュリティ部門 TippingPoint Technologies が報告したものだ。1つ目の『CVE-2008-1584』は、Intel が開発した動画/音声圧縮コーデック『Indeo』を使った動画コンテンツの処理方法に存在する脆弱性だ。

Tipping Point が特定したもう1つの脆弱性『CVE-2008-1585』は、URL の処理方法にまつわる問題だ。

同脆弱性について、Apple のセキュリティ勧告には、次のような説明がある。「QuickTime における file: で始まる URL の処理機能に問題が存在する。これにより、攻撃者が細工した QuickTime コンテンツをユーザーが『QuickTime Player』で再生した場合、任意のアプリケーションやファイルが起動されてしまう可能性がある。今回の更新では、これらのファイルを起動することなく、『Finder』または『Windows Explorer』で該当のファイルを明らかにするという形で、問題を解決する」