編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

アップル、QuickTimeのゼロデイ脆弱性用パッチをリリース

文:Joris Evers(CNET News.com) 翻訳校正:編集部

2007-01-24 12:11

 Appleは米国時間1月23日に、同社メディアプレーヤー「QuickTime」に存在する深刻なセキュリティ脆弱性を修復するパッチをリリースした。

 今回のパッチは、脆弱性および攻撃コードに関する詳細が公開されてから23日後にリリースされた。この脆弱性は、1月にApple製ソフトウェアに存在する脆弱性を毎日指摘していく取り組みである「Month of Apple Bugs」の開始に合わせて公開された。

 Appleが出した警告によると、このQuickTimeの脆弱性は、同ソフトウェアがReal Time Streaming Protocol(RTSP)を処理する方法に関係しているという。この脆弱性を悪用すると、特別なRTSPコードを埋め込んだQuickTimeファイルをユーザーに開かせるだけで、攻撃者によるユーザーシステムの乗っ取りが可能になる、とAppleは述べている。

 Appleの警告にはまた、「QuickTimeがRTSPのURLを処理する方法にバッファオーバーフローの脆弱性が存在する」と説明し、「悪意を持って作成したRTSPのURLにアクセスするようユーザーを誘導することで、攻撃者はバッファオーバーフローを引き起こすことができる。これによって任意のコードが実行されてしまう可能性が生じる」と忠告している。

 セキュリティ監視会社であるSecuniaでは、このQuickTimeの脆弱性を5段階評価で2番目に危険度が高い「非常に深刻」とし、French Security Incidence Response Team(FrSIRT)は、この脆弱性を最高レベルの「重大」に分類している。専門家らは、この脆弱性が広く悪用されていることを確認していない。

 Month of Apple Bugsにかかわるバグハンターの1人で「LMH」と名乗る人物は、Appleがこの脆弱性を修復するまでこれほど時間を要したことに驚きを隠せないようだ。同氏はインタビューの中で、「コードの実行を遠隔から可能にする問題が22日間も放置されていた。これは正気じゃない」と述べ、「すでに悪用されていたし、ターゲット攻撃に利用されていた」と語る。

 この脆弱性はMac OS XおよびWindows版の「QuickTime 7.1.3」に影響する。Month of Apple Bugsの一環として、QuickTimeも含めたApple製ソフトウェアに存在する脆弱性が複数明らかにされている。Appleはこれらの問題に対して修復パッチをまだリリースしていない。

 Appleは同プロジェクトを認識しているが、通常の声明を通じてコメントすることを控えている。同社は声明の中で、Appleはセキュリティを非常に深刻にとらえており、「潜在的な脆弱性を、ユーザーが影響を受ける前に解決するすばらしい実績がある。われわれは、Macのセキュリティを改善する方法に関するフィードバックをいつでも歓迎している」と述べている。

 Quicktimeの脆弱性する今回の修復パッチは、Mac OS Xの機能である「Software Update」、もしくは同社サイトの「Apple Downloads」ページからダウンロードしてインストールすることができる。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]