アップル、QuickTimeの脆弱性4件を修正--Mac版とWindows版に影響

Dawn Kawamoto(CNET News.com)2005年11月07日 12時02分

 Apple Computerは米国時間3日、QuickTimeメディアプレイヤーに複数の脆弱性が存在し、これらが悪用されると、攻撃者にDoS(サービス拒否)攻撃を仕掛けられたり、リモートからコードを実行されたりする可能性があると警告を発した。

 セキュリティベンダーSecuniaが米国時間4日に発表したレポートによると、脆弱性の影響を受けるのは、Mac OS X用のQuickTimeバージョン6.5.2および7.0.1のほか、Windows用の一部バージョンで、これらの脆弱性は「極めて深刻」なものだという。

 Appleが10月12日に公開したアップデート版QuickTime 7.0.3では、これら4件の脆弱性がすでに修正されている。

 今回明らかにされた脆弱性のなかには、外部からコンテンツを読み込むアプリケーションに対してDoS攻撃を仕掛けることを可能にするものもある。この「NULLポインタのデリファレンス」脆弱性は、特定の属性が欠落した動画ファイルを処理する際に、情報の欠落が検知されないことに起因すると、Appleは述べる。

 また、もう1つのセキュリティホールである整数オーバーフロー脆弱性を悪用すると、攻撃者は、特別に作成した動画ファイルを利用して、リモートから任意のコードを実行することができてしまう。

 Secuniaの最高技術責任者(CTO)Thomas Kristensenは「今回発表された脆弱性のうち3件は、攻撃者による悪質なコードの実行を可能にするものだ。残り1件の脆弱性は、DoS攻撃に悪用される可能性があるが、攻撃は特定の状況下でしか機能しない。これが悪用された場合、ユーザーがファイルを開こうとしたときにメディアプレイヤーがクラッシュする」と語っている。

 Appleは6月にリリースしたQuickTime 7.0.1で、以前のバージョンに存在した脆弱性を修正したほか、複数の改善を施していた。このときに修正された脆弱性は、攻撃者がユーザーマシン上のデータを任意のウェブサイトに送信できてしまうというもので、Quartz Composerプラグインに存在していた。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]