アップルは米国時間6日、複数の深刻な脆弱性を修正した「QuickTime 7.3」を公開した。アップデートの対象となるのはMac OS X v10.5、Mac OS X v10.4.9 以降、Mac OS X v10.3.9、Windows Vista、XP SP2。
今回のアップデートで修正される脆弱性は以下の通り。
・CVE-2007-2395:細工されたムービーファイルを再生すると、画像情報を格納したブロックを処理する際にメモリ破損が発生し、任意のコードが実行される。
・CVE-2007-3750:細工されたムービーファイルを再生すると、エンコード方式などを格納したブロックを処理する際にヒープバッファオーバーフローが発生し、任意のコードが実行される。
・CVE-2007-3751:細工されたJavaアプレットを含むWebサイトにアクセスすると、アクセス権限が昇格され、上位の権限で不正なコードが実行される。
・CVE-2007-4672:細工されたPICTイメージを開くと、スタックベースのバッファオーバーフローが発生し、任意のコードが実行される。
・CVE-2007-4676:細工されたPICTイメージを開くと、ヒープバッファオーバーフローが発生し、任意のコードが実行される。
・CVE-2007-4675:細工されたQTVR(QuickTime Virtual Reality)ムービーファイルを再生するとヒープバッファオーバーフローが発生し、任意のコードが実行される。
・CVE-2007-4677:色に関する無効なデータを含むムービーファイルを再生すると、色情報を格納したブロックを処理する際にヒープバッファオーバーフローが発生し、任意のコードが実行される。
セキュリティアップデートは同社Webサイトの「ソフトウェアアップデート」からダウンロードするほか、Mac OSの場合はアップルメニューの「システム環境設定」‐「ソフトウェア・アップデート」、Windowsの場合は「ソフトウェア・アップデート」アプリケーションによる自動インストールで入手できる。
(2007/11/07 ネットセキュリティニュース)
■QuickTime 7.3 のセキュリティコンテンツについて(アップル)
http://docs.info.apple.com/article.html?artnum=306896-ja
■ソフトウェアアップデート(アップル)
http://www.apple.com/jp/ftp-info/
■Apple QuickTime Multiple File Processing Code Execution Vulnerabilities[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2007/3723
■Apple QuickTime Multiple Vulnerabilities [英文](Secunia)
http://secunia.com/advisories/27523/