Apple、『QuickTime 7.5』をリリースし5件の脆弱性に対応

この記事のURLhttp://japan.internet.com/webtech/20080612/12.html

3G ネットワーク対応『iPhone 3G』の華やかな発表の陰に隠れてしまっているが、Apple は9日、メディア コンテンツの再生や、人気ジュークボックス ソフトウェア『iTunes』の基盤として用いるソフトウェア『QuickTime』のセキュリティ更新版『QuickTime 7.5』をリリースした。

最新版の QuickTime 7.5 では、ユーザーが攻撃を受ける可能性があった5件の脆弱性を修正している。

このところ Apple は頻繁に QuickTime のセキュリティ更新を繰り返しているが、QuickTime の脆弱性をいくつか発見し更新に貢献したセキュリティ企業の少なくとも1社は、Apple の対応が時宜を得たものと評価している。

今回修正した問題のうち、4件は『Mac OS X』と『Windows』の両プラットフォームに影響するもので、残りの1つは Windows だけに影響するものだ。

Windows だけに関係する脆弱性『CVE-2008-1581』は、PICT 画像ファイルの処理方法に関する脆弱性だ。攻撃者はこの脆弱性を悪用し、任意コードを実行したり、アプリケーションをクラッシュさせることができる。

以下、Windows および Mac OS X の両方に影響する脆弱性を見ていくと、まず『CVE-2008-1583』だが、これも PICT 画像ファイルの処理方法に存在する問題だ。同脆弱性は CVE-2008-1581 と同様に、任意コード実行やアプリケーションのクラッシュを招きかねない。

次に『CVE-2008-1582』は、iTunes コンテンツの標準フォーマットとなっている AAC 形式ファイルの処理方法に関する脆弱性だ。細工した AAC メディアファイルを開くことで、任意コード実行やクラッシュに至る恐れがある。

残り2つの脆弱性は、3Com のセキュリティ部門 TippingPoint Technologies が報告したものだ。1つ目の『CVE-2008-1584』は、Intel が開発した動画/音声圧縮コーデック『Indeo』を使った動画コンテンツの処理方法に存在する脆弱性だ。

Tipping Point が特定したもう1つの脆弱性『CVE-2008-1585』は、URL の処理方法にまつわる問題だ。

同脆弱性について、Apple のセキュリティ勧告には、次のような説明がある。「QuickTime における file: で始まる URL の処理機能に問題が存在する。これにより、攻撃者が細工した QuickTime コンテンツをユーザーが『QuickTime Player』で再生した場合、任意のアプリケーションやファイルが起動されてしまう可能性がある。今回の更新では、これらのファイルを起動することなく、『Finder』または『Windows Explorer』で該当のファイルを明らかにするという形で、問題を解決する」

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。