「Quick Time」の脆弱性を突く実証コードが出現

文:Dawn Kawamoto(CNET News.com) 翻訳校正:編集部 2007年11月27日 10時27分

  • このエントリーをはてなブックマークに追加

 Appleの「Quick Time」でサポートされているプロトコルの極めて重大なセキュリティ上の脆弱性を利用する脆弱性実証コードが見つかり、セキュリティの専門家たちは注意を促している。

 Milw0rm.comによると、Windows Vista、Windows XP Professional SP2で動作するApple Quick Timeバージョン7.2および7.3が影響を受けることを確認したという。

 Computer Emergency Readiness Team(US-Cert)は、AppleのiTunesにはQuickTimeコンポーネントが含まれており、iTunesをインストールすることも危険であると指摘している。

 US-Certは、今回の脆弱性は、Appleの「Quick Time Streaming Server」および「Quick Time Player」でサポートされているReal Time Streaming Protocol(RTSP)で見つかったとしている。このため、ユーザーがQuick Time Media Linkファイルを通して悪意のあるRTSPストリームをダウンロードしたり、悪質なサイトを訪れたりした場合、システムが危険にさらされる可能性がある。攻撃者は、ユーザーのシステムからコードを勝手に実行したり、サービス拒否攻撃を開始したりすることが可能になる。

 Appleは11月上旬に発表したQuick Time 7.3で、前バージョン7.2で見つかった7つのセキュリティ上の脆弱性に対応した。しかし、この3日間セキュリティの専門家たちが指摘しているRTSPの脆弱性については手付かずのままになっている。

 US-Certでは、ユーザーに対し、今回見つかった脆弱性による危険性を最小限に抑えるためにInternet ExplorerのQuick Time Active Xコントロール機能、Mozillaベースのブラウザ用Quick TimeプラグインのほかJavaScript、Quick Timeファイルとの関連付けを無効にするなど、複数の回避策を講じるよう呼びかけている。他にも、信頼できないサイトからQuick Timeファイルをダウンロードしたりしないことも重要だとしている。

 セキュリティ会社のSecuniaでは、今回の脆弱性を5段階評価で最も高い「極めて重大(Extremely critical)」に設定した。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?