アップルがQuickTimeのセキュリティホールを修正

　Appleは米国時間6月1日、さまざまなセキュリティ上の脆弱性を修正したQuickTime 7.6.2をリリースした。それらの脆弱性の一部は、任意のコードを実行される攻撃につながる可能性のあるものだ。

　今回のアップデートは、Mac OS X、Windows XP、Windows Vista向けに提供されるもので、ブービートラップを仕掛けた映画、動画、画像、音声ファイルを通じて悪用される可能性のある、全部で10件の明文化された脆弱性を修正している。

　詳細は以下の通りだ。（編集部注：Appleのサポートページより抜粋）

• CVE-2009-0188: QuickTime で Sorenson 3 ビデオファイルを処理時に、メモリが破損する場合があります。これにより、アプリケーションが予期せず終了したり、不正なコードが実行される可能性があります。
• CVE-2009-0951: FLC 圧縮ファイルの処理時に、ヒープバッファがオーバフローする場合があります。悪意を持って作成された FLC 圧縮ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする場合があります。
• CVE-2009-0952: 圧縮 PSD 画像の処理時に、バッファオーバーフローが発生する場合があります。悪意を持って作成された圧縮 PSD ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする場合があります。
• CVE-2009-0010: QuickTime で PICT 画像の処理時に、整数のアンダーフローが発生し、ヒープバッファがオーバーフローする場合があります。悪意を持って作成された PICT ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
• CVE-2009-0953: QuickTime で PICT 画像を処理時に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成された PICT ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
• CVE-2009-0954: QuickTime でムービーファイルの Clipping Region (CRGN) アトムタイプを処理時に、ヒープバッファのオーバーフローが発生する場合があります。悪意を持って作成されたムービーファイルを開くと、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。
• CVE-2009-0185: MS ADPCM エンコードオーディオデータの処理時に、ヒープバッファのオーバーフローが発生する場合があります。悪質なムービーファイルを再生すると、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。
• CVE-2009-0955: QuickTime でイメージ記述アトムを処理時に、符号拡張の問題が発生する場合があります。悪意を持って作成されたアップルのビデオファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。
• CVE-2009-0956: QuickTime でムービーファイルの処理時に、初期化されないメモリアクセスの問題が発生する場合があります。サイズ 0 のユーザデータアトムを伴うムービーファイルを再生すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。
• CVE-2009-0957: QuickTime で JP2 画像の処理時に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成された JP2 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。

　今回のアップデートは、ソフトウェアアップデートユーテリティ（Mac OS Xの場合）とAppleの自動ソフトウェアアップデートツール（Windowsの場合）を通じて提供される。また、QuickTimeダウンロードサイトからQuickTime 7.6.2を入手することもできる。