iTunesとQuickTimeに脆弱性--悪質な「.mov」ファイルに注意

　あるセキュリティ研究者が、信頼できないところから入手したメディアファイルを不用意に開くと、利用しているコンピュータを乗っ取られるおそれがあると警告している。

　このTom Ferrisというセキュリティ研究者は、Apple Computerの「iTunes」と「QuickTime」に脆弱性が存在することを12月上旬に明らかにしていたが、米国時間20日遅くにこの脆弱性に関するさらに詳しい情報を公開した。この脆弱性を悪用されると、WindowsやMac OS Xで動くシステムが攻撃の危険にさらされるという。

　Ferrisは、自らが運営する「Security-Protocols.com」に掲載した勧告のなかで、攻撃者がユーザーをだまして悪質な「.mov」メディアファイルを開かせ、無防備なコンピュータを乗っ取る可能性があると述べている。

　「この脆弱性は、攻撃者がプログラムをクラッシュさせたり、任意のコードを実行することを可能にするもので、iTunesとQuickTimeの現行およびこれまでのすべてのバージョンに存在する」（Ferris）

　セキュリティ監視会社のSecuniaでは、この問題を「やや深刻」に分類しており、また調査グループのFrench Security Incident Response Teamでは、これを「重大」に指定している。Appleにコメントを求めたが回答は得られなかった。

　Ferrisは、この問題を今月はじめにAppleに報告したという。同氏は12月2日、この脆弱性に関する情報のごく一部を自身のウェブサイトで公開した。そして20日には、iTunesやQuickTimeをクラッシュさせる不正なメディアファイルの例など、すべての情報を網羅したセキュリティ勧告を出した。

　メディアプレイヤー関連の脆弱性は以前から問題になっていた。SANS Instituteは先ごろ、サイバー犯罪者らが攻撃対象をWindowsなどのOSからメディアプレイヤーなど各種のアプリケーションへと移しつつあると述べていた。またAppleは、以前にもソフトウェアの脆弱性修正を余儀なくされたことがある。eEye Digital Securityも今月はじめ、RealNetworkのRealPlayerにある脆弱性に関する警告を出していた。

　Ferriはコンピュータユーザーに対し、信頼できないところから入手したメディアファイルは開かないようにと述べている。