Apple Computerは米国時間3日、QuickTimeメディアプレイヤーに複数の脆弱性が存在し、これらが悪用されると、攻撃者にDoS(サービス拒否)攻撃を仕掛けられたり、リモートからコードを実行されたりする可能性があると警告を発した。
セキュリティベンダーSecuniaが米国時間4日に発表したレポートによると、脆弱性の影響を受けるのは、Mac OS X用のQuickTimeバージョン6.5.2および7.0.1のほか、Windows用の一部バージョンで、これらの脆弱性は「極めて深刻」なものだという。
Appleが10月12日に公開したアップデート版QuickTime 7.0.3では、これら4件の脆弱性がすでに修正されている。
今回明らかにされた脆弱性のなかには、外部からコンテンツを読み込むアプリケーションに対してDoS攻撃を仕掛けることを可能にするものもある。この「NULLポインタのデリファレンス」脆弱性は、特定の属性が欠落した動画ファイルを処理する際に、情報の欠落が検知されないことに起因すると、Appleは述べる。
また、もう1つのセキュリティホールである整数オーバーフロー脆弱性を悪用すると、攻撃者は、特別に作成した動画ファイルを利用して、リモートから任意のコードを実行することができてしまう。
Secuniaの最高技術責任者(CTO)Thomas Kristensenは「今回発表された脆弱性のうち3件は、攻撃者による悪質なコードの実行を可能にするものだ。残り1件の脆弱性は、DoS攻撃に悪用される可能性があるが、攻撃は特定の状況下でしか機能しない。これが悪用された場合、ユーザーがファイルを開こうとしたときにメディアプレイヤーがクラッシュする」と語っている。
Appleは6月にリリースしたQuickTime 7.0.1で、以前のバージョンに存在した脆弱性を修正したほか、複数の改善を施していた。このときに修正された脆弱性は、攻撃者がユーザーマシン上のデータを任意のウェブサイトに送信できてしまうというもので、Quartz Composerプラグインに存在していた。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」