Appleの「Quick Time」でサポートされているプロトコルの極めて重大なセキュリティ上の脆弱性を利用する脆弱性実証コードが見つかり、セキュリティの専門家たちは注意を促している。
Milw0rm.comによると、Windows Vista、Windows XP Professional SP2で動作するApple Quick Timeバージョン7.2および7.3が影響を受けることを確認したという。
Computer Emergency Readiness Team(US-Cert)は、AppleのiTunesにはQuickTimeコンポーネントが含まれており、iTunesをインストールすることも危険であると指摘している。
US-Certは、今回の脆弱性は、Appleの「Quick Time Streaming Server」および「Quick Time Player」でサポートされているReal Time Streaming Protocol(RTSP)で見つかったとしている。このため、ユーザーがQuick Time Media Linkファイルを通して悪意のあるRTSPストリームをダウンロードしたり、悪質なサイトを訪れたりした場合、システムが危険にさらされる可能性がある。攻撃者は、ユーザーのシステムからコードを勝手に実行したり、サービス拒否攻撃を開始したりすることが可能になる。
Appleは11月上旬に発表したQuick Time 7.3で、前バージョン7.2で見つかった7つのセキュリティ上の脆弱性に対応した。しかし、この3日間セキュリティの専門家たちが指摘しているRTSPの脆弱性については手付かずのままになっている。
US-Certでは、ユーザーに対し、今回見つかった脆弱性による危険性を最小限に抑えるためにInternet ExplorerのQuick Time Active Xコントロール機能、Mozillaベースのブラウザ用Quick TimeプラグインのほかJavaScript、Quick Timeファイルとの関連付けを無効にするなど、複数の回避策を講じるよう呼びかけている。他にも、信頼できないサイトからQuick Timeファイルをダウンロードしたりしないことも重要だとしている。
セキュリティ会社のSecuniaでは、今回の脆弱性を5段階評価で最も高い「極めて重大(Extremely critical)」に設定した。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
「ストリートビュー」が捉えたクレイジーすぎる光景38連発 
「Android」スマホのホーム画面を手軽に効率化する5つの方法 
シャオミ初のEV「SU7」、MWCに登場