昨年9月に警告していたアップルコンピュータの「QuickTime」の脆弱性が1年も放置されたままだとして、ハッカー組織がついにコマンドを実行する実証コードを公開した。セキュリティ関連企業はこれに対し、QuickTimeの利用を制限するよう注意を呼びかけている。
問題の脆弱性は、QuickTime Linkファイル(.qtl)の「qtnext」のパラメータを使ってブラウザにJavaScriptを実行させることができるというもの。昨年9月にハッカー組織GNUCITIZENが指摘していたもので、当初はJavaScriptでアラートを出すだけの実証コードだった。その後問題が1年も放置されていたため、同組織は警告の意味でより危険のある実証コードを公開したとしている。
今回公開された実証コードでは、Firefoxの拡張機能を呼び出す「-chrome」パラメータを使ってFirefoxにスクリプトを実行させ、Windows附属の電卓を起動する。
セキュリティ関連企業はこれに対し、Firefoxの機能拡張のひとつであるNoScriptを使用したり、信頼できないQuickTimeファイルやWebページを閲覧しないようするなどして、QuickTimeの利用を制限するよう注意している。
QuickTimeは、拡張子ではなくファイルの中身でファイルの種類を判断する。このため、細工したファイルは「.qtl」とは限らない。QuickTimeが開く全てのファイルに警戒が必要だ。
(2007/09/18 ネットセキュリティニュース)
■セキュリティ機関のアドバイザリ
・Apple QuickTime に任意のコマンドが実行される脆弱性(JVN)
http://jvn.jp/cert/JVNVU%23751808/
・Apple QuickTime "qtl" File Handling Remote Command Injection Vulnerability[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2007/3155
・VU#751808: Apple QuickTime remote command execution vulnerability[英文](US-CERT)
http://www.kb.cert.org/vuls/id/751808
・Apple QuickTime Plug-In Arbitrary Script Execution Weakness(SecurityFocus)
http://www.securityfocus.com/bid/20138
・Apple QuickTime qtnext Input Validation Vulnerability[英文](Secunia)
http://secunia.com/advisories/22048
・QTL Arbitrary JavaScript Execution[英文](eEye Digital Security)
http://research.eeye.com/html/alerts/zeroday/20060920.html