アップルコンピュータは米国時間5日、深刻な脆弱性を修正したQuickTimeの新バージョン7.1.5を公開した。対応OSは、Windows 2000/XP/VistaおよびMac OS X v10.3.9以降。セキュリティベンダーの仏FrSIRTやデンマークのSecuniaはこれらの脆弱性について、リモート攻撃を受けるおそれがある危険度の高いものとして警告している。
今回のアップデートでは、細工を施されたファイルを開くと、バッファオーバーフローや整数オーバーフローなどが起こり、QuickTimeが不正終了したり、任意のコードを実行される脆弱性8件が修正された。同脆弱性を悪用したファイルを開くか、同ファイルが置かれたウェブサイトにアクセスすると、問題が起こるおそれがある。対象となるのは3GPビデオ、MIDIファイル、QuickTimeムービーファイル、PICTファイル、QTIFファイル。
QuickTimeの新バージョンは、アップルのサイトからダウンロードできる。また、Windows版は、QuickTimeとセットでインストールされている「Apple Software Update」を実行して入手することもできる。ただし、QuickTimeの更新機能(ヘルプメニューの「既存のソフトウェアを更新」や[編集]→[設定]→[[QuickTime 設定]の「更新」)ではダウンロードできないので注意が必要だ。
(2007/03/07 ネットセキュリティニュース)
■QuickTime 7.1.5 のセキュリティコンテンツについて(アップルコンピュータ)
http://docs.info.apple.com/article.html?artnum=305149-ja
■ソフトウェアアップデート(アップルコンピュータ)
http://www.apple.com/jp/ftp-info/
■Apple QuickTime Multiple File Format Handling Remote Command Execution Vulnerabilities[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2007/0825
■ Apple QuickTime Multiple Vulnerabilities[英文](Secunia)
http://secunia.com/advisories/24359/