Appleは米国時間5月1日、「QuickTime」のアップデートをリリースした。これは、先日開催されたセキュリティカンファレンスで「MacBook Pro」のハッキングに利用された脆弱性に対処するもの。
Appleがセキュリティ警告のなかで明らかにしたところでは、同メディアプレーヤーの脆弱性は「QuickTime for Java」にあるという。このセキュリティホールは、偽装されたウェブサイトにアクセスすると悪用され、Mac OS XとWindowsのいずれかが動作するコンピュータを攻撃者に思い通りにさせてしまう可能性があるという。
「攻撃者は、悪質な細工を施したJavaアプレットが含まれたウェブページにユーザーを誘い込んで問題を引き起こし、任意のコードを実行できるようになる」とAppleは語っている。危険があるのは未修正のQuickTimeが動作するコンピュータだけだという。
セキュリティ監視会社Secuniaでは、この脆弱性を最も深刻なレベルより一段低い「highly critical(非常に重大)」に指定している。この「QuickTime 7.1.6」アップデートは、チェック項目を追加することでこの問題を修正している。Appleは、この問題の発見について、バグハンターのDino Dai Zovi氏とTippingPoint Zero Day Initiativeの功績であるとして称えている。
ブリティッシュコロンビア州バンクーバーで開催されたCanSecWestカンファレンスで、賞金の1万ドルと賞品のMacBook Proの獲得を目指してハッキングを競う「hack-a-Mac」コンテストが行われ、そこでこの脆弱性が利用された。Appleが修正を出してきたのはそれからわずか1週間余りのことだった。
セキュリティ研究者Shane Macaulay氏がDai Zovi氏と協力してMacに侵入し、これを賞品として獲得した。Dai Zovi氏はその後、このバグをTippingPointに引き渡した。同社は、Zero Day Initiativeプログラムを通じて1万ドルの賞金を出し、コンテストの魅力をさらに高めていた。
Appleは1日、4月に初版がリリースされていたセキュリティパッチのアップデートも公開した。「2007-004」パッチのバージョン1.1は、オリジナルのパッチにあった2つの問題を修正する。この問題があると、無線接続が遮断され、一部FTPユーザーにApple FTPServer上で権限以上のアクセスが許可されてしまう可能性があると、Appleは別の警告のなかで明かしている。
Appleのセキュリティアップデートは、OSの「ソフトウェア・アップデート」機能やQuickTimeソフトウェア、そしてAppleのウェブサイトから入手可能。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」