カナダのバンクーバーで開かれていたセキュリティカンファレンス「CanSecWest」で催された「Macハッキングコンテスト」で現地時間20日、Shane Macaulay氏が未修正の脆弱性を突いてMacBookに侵入し、賞品として用意されていたこのMacBookを手に入れた。細工したページをブラウザのSafariで閲覧させるだけで、システムの侵入に成功したという。
当該ページを作成したのは、Matasano Securityのセキュリティ研究者Dino Dai Zovi氏。Matasano Securityのブログによると、QuickTimeのJavaの取り扱いに問題があり、リモートからコードが実行できるらしい。脆弱性の詳細については明らかにされていないが、当該脆弱性はMac OS XとSafariだけの問題ではなく、Javaが有効な全てのブラウザと、QuickTimeがインストールされたWindowsにも影響を及ぼす。当該脆弱性はブラウザのJavaサポートを無効にすることによって回避できるとしており、修正パッチが提供されるまでは、Javaを無効にしておくことをお勧めする。
(2007/04/24 ネットセキュリティニュース)
■ Apple Quicktime Unspecified Java Handling Arbitrary Code Execution Vulnerability[英文](SecurityFocus)
http://www.securityfocus.com/bid/23608
■ Mac flaw may also affect Windows[英文](SecurityFocus)
http://www.securityfocus.com/brief/488
■ BREAKING MacBook Vuln In Quicktime, Affects Win32 Apple Code[英文](Matasano Chargen)
http://www.matasano.com/log/812/breaking-macbook-vuln-in-quicktime-affects-win32-apple-code/