「Quick Time」の脆弱性を突く実証コードが出現

文:Dawn Kawamoto(CNET News.com) 翻訳校正:編集部 2007年11月27日 10時27分

 Appleの「Quick Time」でサポートされているプロトコルの極めて重大なセキュリティ上の脆弱性を利用する脆弱性実証コードが見つかり、セキュリティの専門家たちは注意を促している。

 Milw0rm.comによると、Windows Vista、Windows XP Professional SP2で動作するApple Quick Timeバージョン7.2および7.3が影響を受けることを確認したという。

 Computer Emergency Readiness Team(US-Cert)は、AppleのiTunesにはQuickTimeコンポーネントが含まれており、iTunesをインストールすることも危険であると指摘している。

 US-Certは、今回の脆弱性は、Appleの「Quick Time Streaming Server」および「Quick Time Player」でサポートされているReal Time Streaming Protocol(RTSP)で見つかったとしている。このため、ユーザーがQuick Time Media Linkファイルを通して悪意のあるRTSPストリームをダウンロードしたり、悪質なサイトを訪れたりした場合、システムが危険にさらされる可能性がある。攻撃者は、ユーザーのシステムからコードを勝手に実行したり、サービス拒否攻撃を開始したりすることが可能になる。

 Appleは11月上旬に発表したQuick Time 7.3で、前バージョン7.2で見つかった7つのセキュリティ上の脆弱性に対応した。しかし、この3日間セキュリティの専門家たちが指摘しているRTSPの脆弱性については手付かずのままになっている。

 US-Certでは、ユーザーに対し、今回見つかった脆弱性による危険性を最小限に抑えるためにInternet ExplorerのQuick Time Active Xコントロール機能、Mozillaベースのブラウザ用Quick TimeプラグインのほかJavaScript、Quick Timeファイルとの関連付けを無効にするなど、複数の回避策を講じるよう呼びかけている。他にも、信頼できないサイトからQuick Timeファイルをダウンロードしたりしないことも重要だとしている。

 セキュリティ会社のSecuniaでは、今回の脆弱性を5段階評価で最も高い「極めて重大(Extremely critical)」に設定した。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]