「QuickTime」がアップデート--ハッキングコンテストで利用の脆弱性に対処

　Appleは米国時間5月1日、「QuickTime」のアップデートをリリースした。これは、先日開催されたセキュリティカンファレンスで「MacBook Pro」のハッキングに利用された脆弱性に対処するもの。

　Appleがセキュリティ警告のなかで明らかにしたところでは、同メディアプレーヤーの脆弱性は「QuickTime for Java」にあるという。このセキュリティホールは、偽装されたウェブサイトにアクセスすると悪用され、Mac OS XとWindowsのいずれかが動作するコンピュータを攻撃者に思い通りにさせてしまう可能性があるという。

　「攻撃者は、悪質な細工を施したJavaアプレットが含まれたウェブページにユーザーを誘い込んで問題を引き起こし、任意のコードを実行できるようになる」とAppleは語っている。危険があるのは未修正のQuickTimeが動作するコンピュータだけだという。

　セキュリティ監視会社Secuniaでは、この脆弱性を最も深刻なレベルより一段低い「highly critical（非常に重大）」に指定している。この「QuickTime 7.1.6」アップデートは、チェック項目を追加することでこの問題を修正している。Appleは、この問題の発見について、バグハンターのDino Dai Zovi氏とTippingPoint Zero Day Initiativeの功績であるとして称えている。

　ブリティッシュコロンビア州バンクーバーで開催されたCanSecWestカンファレンスで、賞金の1万ドルと賞品のMacBook Proの獲得を目指してハッキングを競う「hack-a-Mac」コンテストが行われ、そこでこの脆弱性が利用された。Appleが修正を出してきたのはそれからわずか1週間余りのことだった。

　セキュリティ研究者Shane Macaulay氏がDai Zovi氏と協力してMacに侵入し、これを賞品として獲得した。Dai Zovi氏はその後、このバグをTippingPointに引き渡した。同社は、Zero Day Initiativeプログラムを通じて1万ドルの賞金を出し、コンテストの魅力をさらに高めていた。

　Appleは1日、4月に初版がリリースされていたセキュリティパッチのアップデートも公開した。「2007-004」パッチのバージョン1.1は、オリジナルのパッチにあった2つの問題を修正する。この問題があると、無線接続が遮断され、一部FTPユーザーにApple FTPServer上で権限以上のアクセスが許可されてしまう可能性があると、Appleは別の警告のなかで明かしている。

　Appleのセキュリティアップデートは、OSの「ソフトウェア・アップデート」機能やQuickTimeソフトウェア、そしてAppleのウェブサイトから入手可能。