アップルコンピュータは米国時間1日、QuickTime for Javaに関する深刻な脆弱性を修正したQuickTime 7.1.6を公開した。対応OSはWindows XP/2000およびMac OS X 10.3.9/10.4.9。
今回修正された脆弱性は、先月開かれたMacハッキングコンテストで見つかったもの。細工されたJavaアプレットを仕掛けたページを開くと、セキュリティに守られたJava仮想マシンの外で、OSのネイティブなコードを直接実行されるおそれがある。コンテストでは、当該脆弱性を突いてMacBookに侵入することに成功しており、QuickTimeがインストールされたWindowsにも影響する可能性が指摘されていた。
修正版の公開とともに、脆弱性の詳しい内容が明らかになっており、Mac OS XとQuickTimeをインストールしているWindowsのユーザーは、ただちに最新版にアップデートすることをお勧めする。
Windows版は、QuickTimeとセットでインストールされている「Apple Software Update」で、Mac OS Xは、アップルメニューの「ソフトウェア・アップデート」で最新版に更新できるほか、同社のダウンロードサイトから、Windows版とMac版のアップデータがダウンロードできる。だたし2日現在、日本語サイトはまだ更新されておらず、手動でダウンロードする場合には、日本語版にも対応している米サイトのアップデータを利用する必要がある。
なお、QuickTime 7.1.6では脆弱性の修正のほかに、QuickTime Playerでタイムコードとクローズドキャプションの表示が新たにサポートされている。
(2007/05/02 ネットセキュリティニュース)
【脆弱性情報】
・About the security content of QuickTime 7.1.6(Apple)
http://docs.info.apple.com/article.html?artnum=305446-ja
・ZDI-07-023: Apple QTJava toQTPointer() Pointer Arithmetic Memory Overwrite Vulnerability(Zero Day Initiative)
http://www.zerodayinitiative.com/advisories/ZDI-07-023.html
・Apple QuickTime Java Handling Unspecified Code Execution(Secunia)
http://secunia.com/advisories/25011/
・Apple QuickTime Java Extension "toQTPointer" Code Execution Vulnerability(FrSIRT)
http://www.frsirt.com/english/advisories/2007/1496
【ダウンロードサイト】
・ソフトウェアアップデート(日本サイト)
http://www.apple.com/jp/ftp-info/
・Apple Downlods(米サイト)
http://www.apple.com/support/downloads/
・QuickTime 7.1.6 for Windows
http://www.apple.com/support/downloads/quicktime716forwindows.html
・QuickTime 7.1.6 for Mac
http://www.apple.com/support/downloads/quicktime716formac.html
【過去記事:ネットセキュリティニュース】
・QuickTimeに未修正の深刻な脆弱性、Macハッキングコンテストで明らかに(2007/04/24)