アップル社は24日、「QuickTime」の脆弱性に対処したセキュリティパッチ(Security Update 2007-001)を公開した。
この脆弱性は、QuickTimeのRTSP(Real Time Streaming Protocol)のURLに長い文字列を渡すとバッファオーバーフローが発生するというもので、悪用されると任意のコードが実行されるおそれがある。アップル製品の脆弱性を公開するプロジェクト「Month of Apple Bugs(MoAB)」が1日に公開し、フランスのFrSIRTが4段階の最高「Critical」と評価するなど、ベンダー各社がユーザへの注意を呼びかけていた。
対象となるのは、Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.8、Mac OS X Server v10.4.8、Windows XP/2000上のQuickTime 7.1.3。すでに攻撃コードも確認されていることから、できるだけ早急にパッチを適用しておきたい。
Windowsの場合は、QuickTimeとセットでインストールされている「Apple Software Update」(スタートボタン→すべてのプログラム→Apple Software Update)、またはQuickTime の更新ボタン(設定→更新タブ→「更新」ボタン、ヘルプ→「既存のソフトウエアを更新」のいずれか)から適用することができる。Mac OS Xの場合は、システム環境設定の「ソフトウェア・アップデート」パネルか、ソフトウェアアップデートページを利用してダウンロード、適用することができる。
(2007/01/25 ネットセキュリティニュース)
■Security Update 2007-001 について(アップルコンピュータ)
http://docs.info.apple.com/article.html?artnum=304989-ja
■ソフトウェアアップデート(アップルコンピュータ)
http://www.apple.com/jp/ftp-info/
■APPLE-SA-2007-01-23 Security Update 2007-001[英文](Apple Computer)
http://lists.apple.com/archives/security-announce/2007/Jan/msg00000.html
■QuickTimeの脆弱性について(1/24)(警察庁セキュリティポータルサイト)
http://www.cyberpolice.go.jp/important/2007/20070124_133642.html
【関連記事:ネットセキュリティニュース】
・「QuickTime」に深刻な脆弱性~コード実行のおそれ(2007/01/09)