情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)は6月13日、Windows版QuickTimeのインストーラに脆弱性が存在するとして情報を公開した。既にAppleのサポートが終了しているため、使用中止を勧告している。
脆弱性は、インストーラがDLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまうというもの。悪用された場合、インストーラを実行している権限で任意のコードを実行されてしまう恐れがある。
脆弱性は、QuickTime 7.7.9 for Windowsまでのインストーラに存在するとみられるが、Appleのサポートは2016年1月で終了しており、今回の脆弱性は修正されない。共通脆弱性評価システム(CVSS)バージョン3を用いたJPCERT/CCによる脆弱性の評価では、基本値が7.8(最大は10.0)とされている。
フレクセラ・ソフトウェアが4月に発表したレポートによると、ベンダーサポートが終了したソフトウェアの市場シェアランキングで、Apple QuickTime 7.xが3位(シェア33%)と報告されている。
AppleサイトではまだWindows版QuickTimeのインストーラが公開されているが、脆弱性は修正されない
