2007年11月27日

Quick Timeに脆弱性

 Appleの「Quick Time」でサポートされているプロトコルの極めて重大なセキュリティ上の脆弱性を利用する脆弱性実証コードが見つかり、セキュリティの専門家たちは注意を促している。

 Milw0rm.comによると、Windows Vista、Windows XP Professional SP2で動作するApple Quick Timeバージョン7.2および7.3が影響を受けることを確認したという。

 Computer Emergency Readiness Team(US-Cert)は、AppleのiTunesにはQuickTimeコンポーネントが含まれており、iTunesをインストールすることも危険であると指摘している。

 US-Certは、今回の脆弱性は、Appleの「Quick Time Streaming Server」および「Quick Time Player」でサポートされているReal Time Streaming Protocol(RTSP)で見つかったとしている。このため、ユーザーがQuick Time Media Linkファイルを通して悪意のあるRTSPストリームをダウンロードしたり、悪質なサイトを訪れたりした場合、システムが危険にさらされる可能性がある。攻撃者は、ユーザーのシステムからコードを勝手に実行したり、サービス拒否攻撃を開始したりすることが可能になる。

 Appleは11月上旬に発表したQuick Time 7.3で、前バージョン7.2で見つかった7つのセキュリティ上の脆弱性に対応した。しかし、この3日間セキュリティの専門家たちが指摘しているRTSPの脆弱性については手付かずのままになっている。

 US-Certでは、ユーザーに対し、今回見つかった脆弱性による危険性を最小限に抑えるためにInternet ExplorerのQuick Time Active Xコントロール機能、Mozillaベースのブラウザ用Quick TimeプラグインのほかJavaScript、Quick Timeファイルとの関連付けを無効にするなど、複数の回避策を講じるよう呼びかけている。他にも、信頼できないサイトからQuick Timeファイルをダウンロードしたりしないことも重要だとしている。

 セキュリティ会社のSecuniaでは、今回の脆弱性を5段階評価で最も高い「極めて重大(Extremely critical)」に設定した。


http://japan.cnet.com/news/sec/story/0,2000056024,20361821,00.htm?ref=rss

先日アップデートしたばかりのQuick Timeですが、脆弱性実証コードも見つかり非常に危険な状態にあるようです。


セキュリティには迅速に対応してくれるAppleですから、アップデートは近いうちにされるはず。それまでは元記事にあるように回避策を講じることをお勧めします。


posted by media_aidem at 15:27 | Comment(0) | TrackBack(0) | セキュリティ
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス: [必須入力]

ホームページアドレス: [必須入力]

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック
セブンネットショッピング(旧セブンアンドワイ)
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。