QuickTimeにまた深刻な脆弱性--修正パッチは未公開

　Apple ComputerのQuickTimeメディアプレイヤーに、また「深刻な」脆弱性が見つかった。同社は3週間ほど前に、同ソフトウェアの脆弱性4件を修正するアップデートを出したばかりだった。

　eEye Digital Securityが米国時間7日に出した勧告によれば、この脆弱性を修正しないと、リモートからコードを実行されるおそれがあるという。同社は、あらゆる種類のOSで動作するQuickTimeの各バージョンに影響があるとしているが、ただし具体的にどのバージョンに危険があるかは明らかにしていない。

　eEyeは10月31日にAppleに対してこの脆弱性の存在を知らせた。この際、eEyeはAppleが10月12日に公開したアップデートで対処していない脆弱性の概要を明らかにしたという。また、Appleは11月3日に4件の脆弱性に関するセキュリティ勧告とそれに対応するパッチを出したものの、この勧告にはeEyeが発見した新しい脆弱性に関する説明がなかったと、eEyeのMike Puterbaugh（シニア製品マーケティングディレクター）は述べている。

　「エンドユーザーが、たとえば悪質なウェブサイトやチャットルールへのリンクをクリックするなど、何らかの操作を行う必要があるため、この欠陥からワームが発生するとは思えないが、ただし影響を受けるコンポーネントはデフォルトで有効になっている」（Puterbaugh）

　新たに公表された欠陥には、攻撃者がそれを悪用して正規のユーザーになりすまし、リモートからコードを実行してしまうというおそれがある。攻撃者は、狙ったマシンに侵入して、なりすましたユーザーが許可されているどの操作でもできてしまう。もしそのユーザーに管理者権限があれば、攻撃者は管理者が可能なすべての部分にアクセスできる。

　eEyeのプロダクトマネジャーSteve Manzuikは、「この脆弱性は最新バージョンのQuickTimeに影響する。前回の脆弱性とは、対象がQuickTimeであること以外に類似点はない」と述べている。

　先の4件の脆弱性では、欠落した動画の属性が拡張子として解釈されるなどの問題があったが、今回の脆弱性はこれらとは別の機能に影響を及ぼす。先のQuickTimeの問題では、実際の拡張子が欠落していることが検知されず、結果的に「nullポインタのデリファレンス」が発生する可能性があった。

　また、先の4件の脆弱性のなかには整数オーバーフローの問題があったが、この問題は特別に作成した動画ファイルを使ってリモートから悪用できるというものだった。

　eEyeでは、Appleがパッチを公開するまでは今回のセキュリティ勧告に関する詳細を明らかにしないとしている。このような方針をとるのは、ベンダーが欠陥への対処を進めている間にハッカーがこの問題をリバースエンジニアリングし、攻撃を仕掛けてくるのを防ぐためだ。

　AppleはCNET News.comに対し、現時点ではこの脆弱性についてコメントする用意が整っていないと語った。Manzuikによると、Appleは米国時間7日にeEyeから勧告を受け取ったことを認めたが、修正パッチをリリースする計画があるかどうか、またあるとすればいつになるのかについては、何も明らかにしなかったという。