Appleが11件のQuickTimeのセキュリティホールに対しパッチを公開
翻訳校正:石橋啓一郎
Appleは最新バージョンのQuickTimeを公開し、2008年3回目のセキュリティアップデートで11件の脆弱性にパッチを当てた。
米国時間4月2日の夜、AppleはすべてのプラットフォームのQuickTimeを対象とするアップデートを公開した。以下に示すセキュリティホールの影響を受けるのは、特に記述がない限り、Mac OS X v10.3.9、Mac OS X v10.4.9以降、Mac OS X v10.5以降、Windows Vista、XP SP2だ。パッチの内容は次のようになっている。
CVE-2008-1013では、Javaアプレットに権限の昇格を許してしまうセキュリティホールを修正している。Appleは次のように述べている。
QuickTime for Javaの実装の問題によって、信頼されていないJavaアプレットがQTJavaが提供するオブジェクトをデシリアライズすることが可能となっている。悪意をもって作成されたJavaアプレットを含むウェブページを閲覧することで、秘密情報の漏洩やカレントユーザーの権限による任意のコード実行が起こる可能性がある。このアップデートでは、信頼されていないJavaアプレットがQTJavaのオブジェクトをデシリアライズする能力を無効にすることで、この問題を解決している。
CVE-2008-1014は、ユーザーが動画をダウンロードする際に起こる情報漏洩の問題を修正している。Appleは次のように述べている。
特別に作成されたQuickTimeムービーは、自動的に外部URLを開くことができ、これによって情報漏洩が起こる可能性がある。このアップデートでは、動画ファイルに埋め込まれている外部URLの処理を改善することで、この問題を解決している。
CVE-2008-1015は、別の動画ファイルの問題を解決している。Appleは、悪意を持って作成された動画ファイルが、予期しないアプリケーションの終了や任意のコード実行に繋がる場合があると述べており、「QuickTimeのデータリファレンスアトムの処理の問題が、バッファオーバーフローを引き起こす場合がある」と付け加えている。
CVE-2008-1016、CVE-2008-1017、CVE-2008-1018はすべて、悪意を持って作られた動画をダウンロードするユーザーのコード実行やアプリケーション異常終了に繋がる可能性のある問題を修正するものだ。
CVE-2008-1019は、「悪意を持って作られたPICT画像ファイルが、予期しないアプリケーションの終了や任意のコード実行に繋がる可能性がある」問題を解決している。また、CVE-2008-1020とCVE-2008-1023は、VistaとXP SP2のみのPICT画像ファイルの処理に関するセキュリティホールを解決するものだ。
CVE-2008-1021は、アプリケーションの異常終了やコード実行の脆弱性に繋がる可能性のある、動画ファイルに関する別のセキュリティホールを修正する。影響のあるプラットフォームはVistaとXP SP2である。
CVE-2008-1022は、QuickTime VRムービーのセキュリティホールを修正する。Appleは「悪意を持って作成されたQuickTime VRムービーファイルを閲覧すると、予期しないアプリケーション終了や任意のコード実行に繋がる場合がある」と述べている。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
- この記事を読み解くキーワード:
- セキュリティ情報
ZDNet用語検索
企業情報
キーワード
関連ホワイトペーパー
-
イメージバックアップ&リカバリー・ソリューションの最新版発売
【株式会社ラネクシー】
-
LANDesk® Application Virtualization 〜仮想ソフトウェアアプリケーションの迅速かつ費用対効果に優れた配布・更新・管理 【LANDesk Software株式会社】
-
メタボリックシンドロームとSNS 【株式会社ビデオリサーチインタラクティブ】
-
FatWire CMSは柔軟なドキュメント管理も可能なCMSです。 【FatWire株式会社】
-
商用化を控えた中国3G端末市場の分析(1)-中国の3Gを取り巻く現状と3G端末の特性- 【株式会社ROA Group】
関連製品
- ArkSensor(リアルタイム情報漏洩検知エンジンOEM)
Advanced Real-Time KeyWord Sensor の略です。 社内ネットワーク上を流れるプロトコル内のあらゆるファイルを対象に、「機密情報キーワード辞書」に登録したキーワードおよび、「個人情報辞書」(標準搭載)にあたる氏名・住所・電話番号・メールアドレス・ID情報を高速検出し、各文字パターンの存在を監査して監査結果を出力するシステムソフトウェアです。主に機密情報や個人情報の漏洩対策ツール等を開発・製品化していただく為の要素技術です。
【データ変換研究所】 - 光学式指紋認証マウス「オプティマウスPro」
米国政府認定の指紋認証ソリューション NIST(アメリカ国立標準技術研究所)とFBI(米連邦捜査局)によって公式認定されたセキュジェンのアルゴリズムとセンサーモジュールは、光学式指紋認証装置としてコンピュータネットワークのセキュリティと利便性を提供します。 高解像度の指紋データ取得と画像処理、暗号化した指紋テンプレートなどの先進技術により、便利で確実な個人認証を実現します
【日本セキュアジェネレーション】 - ドイツX-Ways Technology社とデータフォレンジックツール及びデータ復旧用エディタ等、 同社全製品の日本における独占販売契約を締結
世界2万本以上の導入実績を誇る独X-WaysTechnology社のコンピューターフォレンジックツールにおける日本独占販売契約を締結。
【データ復旧センター】
注目記事
Notes/Dominoの間隙をつくMSの戦略――企業のコラボレーション基盤を考える(3)
・自社技術による「Notesマイグレーション」を強力にアピールするベンダーの急先鋒(せんぽう)がマイクロソフトだ。同社のNotes環境ステップアップソリューションでは、ウィザードを備えたNotes移行ツールを数多く用意するほか、Notes移行支援サイトを用意してパートナー企業やSI業者を後押しし、Notesユーザーのマイクロソフトプラットフォームへの誘導に力を入れる。 2008/08/22 14:00 【企業のコラボレーション基盤を考える】
成功のための5つの戦略
・困難な状況でもリーダーとして振る舞うのは難しいことだ。この記事では、リーダーが身につけておくべき戦略を5つ紹介する。 2008/08/22 08:00 【ITマネジメント】
カテゴリ新着
プレスリリース
プレスリリース Feed- ネットワールド: ネットワールド、国興産業へ「VMware Infrastructure 3」 を導入
- ディバータ: mixi OpenIDを利用して、mixi(ミクシィ)のコミュニティメンバー専用の会員制サイトが作れるサービス『MixGroup β』をリリース
- ビジュアルワークス: 『フォレストノベル』×『まぜてよ★生ボイス』コラボレーション人気企画『まぜ生★学園』 コミックマーケット74に出現!あの初音ミクや人気声優も登場!
- 時空: 名刺の管理、共有から活用まで!!『BusicaFE(ビジカ・エフイー)システム』製品案内サイト(http://www.busica.jicoo.com/)リニューアル!
- イー・ステート・オンライン: マンション購入お役立ち情報ブログ『マンションフリーク〜住まいの回覧板〜』に新たにモデルルームレポート『ローレルコート立石パークビューレジデンス』がアップされました
レビュー
レビュー Feed
[レビュー]高い信頼性を普通に使う地球に優しい電源ユニット--Antec EarthWattsシリーズ EA-650
今週の新製品総チェック:薄さ13.9mmのサイバーショット登場!NEC「LaVie」はデザインモデルが
[レビュー]テレビを持ち歩ける最強ツール--ソニー、Blu-rayレコーダー「BDZ-A70」
最新記事
- Notes/Dominoの間隙をつくMSの戦略――企業のコラボレーション基盤を考える(3)
- セールスフォース・ドットコム、好調な第2四半期決算を発表--慎重な業績見通しで株価下落
- KDDIウェブコミュニケーションズ、企業の成長に合わせて無駄なく拡張可能なVPSホスティング
- 【22日市況:前場】一時は下落幅を縮めるが、勢いは続かず再び下落
- お金をかけずにiPhoneをモバイルディスクとして使う方法
- 成功のための5つの戦略
- 独裁者タイプの上司はなぜできるのか
- Amazon Web Servicesが新ストレージサービスを提供
- フォトレポート:ビクトリア朝のガジェットたち--自動ページめくり機から潜望鏡式眼鏡まで
- インテル、倍速新技術の冷却ファンを公開
企画特集
セキュリティ対策レベルテスト公開!- 自社のセキュリティのウイークポイントはドコ?
仮想化環境で求められるストレージの要件- それに応えるNetAppの実力とは?
DELLが掲げる「新・仮想化アセスメントサービス」- 〜企業システムの仮想化環境の構築を支援〜
Webセキュリティ特集- Web2.0時代の脅威へ対抗するためのソリューションとは?
APC SOLUTIONS FORUM 2008をレポート- 電源、冷却の効率化によるエネルギー削減とは?
Techno Exchange- 仮想化技術がグリーンITにもたらすもの
ZDNet Japan ホスティング特集- 2008年夏のホスティングサービスのトレンドは何?
ZDNet Japan Green IT- サミットだけでは終わらせない!エンタープライズの取り組みはこれからだ!
ブログ
ブログ RSS Feed
残暑お見舞い申し上げます。- 裏方の裏方日記〜日々是広報 2008/08/21 23:17
- その41:ジェスチャー4 〜ジェスチャー再生方法〜 Second Life 新世界的ものづくりのススメ
- 日本Linux協会blog
- その後の僕とMac IT-Walker on ZDNet
- エリアターゲティングって、WEB戦略上 本当に大丈夫? 「ズームイン!IPアドレス」ちょっとドメインも
- builder by ZDNet Japanに移行します あとで読むRailsのススメ
- Mac OS X 10.5.2 update 猫科の手も借りたい
- バーチャルとリアルの境界線 大競争時代のBI活用術
- アジアIT通信
- builder blog log4day〜1人月からの脱却
- 脱線いたしま〜す 「モヤモヤがあっちへ飛んでいく」 真水不足のミッドウェイ
- 精一杯努力した結果の失敗なら仕方ない 現場からの「協働革新」
- キャストの真実 「Second Love Story」〜あの頃の僕たちに〜
- アプライアンス・サーバーは皆を幸せにする DIY的ITシステムのススメ
- MacPortsに乗り換えた Macでたしなむスクリプト言語
- tool editor: emacs(5) - ~/.emacs Admin.Mac
- オープンソースで起業の準備をしよう インサイドオープンソース
- 9X Problem 「エンタープライズ2.0」への道しるべ
- GoogleとAT&T、iPhoneからの検索リクエストにうれしい悲鳴 J. O'Gradyのアップルコア
- Google検索サイトにビデオ広告が登場 グーグリングGoogle
- 通信革命−NGNを使ったバーチャル取引 シリコンバレーの現場から
- 「スーパーマーケット・バンキング」の逆襲と「青物」の定義 エンタープライズニュースの読み方
- 真の「オープンソース候補」はだれか? ZDNet.com オープンソースブログ
- SOAスイートの誘惑に打ち勝つ! ZDNet.com SOAブログ
- 事業継続マネジメントシステム認証制度の賢い作り方(2) ITセキュリティー下学上達
- iPhone 3Gでビジネス通話とプライベート通話を使い分ける IP Telephony最前線
- ITIL:インサイドストーリー
注目トピックス From CNET Japan
PRADA Phone開封の儀--iPhoneと比べてみました - NTTドコモから発売されている「PRADA Phone by LG」を編集部が入手した。同じタッチパネルケータイであるiPhoneとはどう違うのか、比べながら箱を開けてみた。
iPhoneとPRADA Phone、入力インターフェースはどう違うか - この夏に発売された、注目のタッチパネルケータイ「iPhone 3G」と「PRADA Phone by LG」。いずれもタッチパネルの入力方法にさまざまな工夫を凝らしている。
毎日新聞社内で何が起きているのか(上) - 電凸が引き起こしたすさまじい破壊力 毎日新聞の英語版サイト「毎日デイリーニューズ」が女性蔑視の低...