今月23日に実証コードが公開されたQuickTimeの未修正の脆弱性が、ますます危険な状態になってきた。ブラッシュアップされたコードが次々に公開され、今にも攻撃が始まりそうな状況だ。
既報の実証コードは、問題のRTSP(Real Time Streaming Protocol)を使って、シェルコードを送り込み、脆弱性を突いて実行させていた。27日に公開された新しい実証コードでは、JavaScriptを使ってシェルコードをロードさせておき、RTSPの脆弱性を突いて実行しようとする。シェルコードが分離されたことによりメンテナンス性が格段と向上し、より悪用しやすいコードになっているのだ。さらにこのコードには、RTSPサーバをエミュレートしユーザーのQuickTimeにトリガーを引かせるためのスクリプトもパッケージされており、RTSPサーバ無しでも即攻撃可能な状態だ。
さらに29日に公開された最新の実証コードでは、これまでのWindowsだけでなくMac OSへの攻撃にも対応。事態は悪化の一途をたどっており、フランスのFrSIRT、デンマークのSecuniaともに最高の深刻度で警告。アップルからは、いまのところパッチの提供や回避策のアナウンスはないが、編集部ではQuickTimeの無効化やJavaScriptの無効化、およびQuickTimeに関連付けられたメディアファイルを開かないことで、ある程度のリスクを軽減できることを確認している。セキュリティベンダー各社は、ポートブロックもまた有効な手段としている。
シマンテックとトレンドマイクロは現地時間28日付のブログで現況を伝えており、シマンテック他一部のセキュリティ対策ソフトは、既に問題のコードの検出に対応。セキュリティ対策ソフトを最新の状態にしておくことも有効な対策のひとつだ。
(2007/11/29 ネットセキュリティニュース)
■QuickTime Player Gets Exploited via RTSP[英文](TrendLabs Malware Blog)
http://blog.trendmicro.com/quicktime-player-gets-exploited-via-rtsp/
■Apple (QuickTime exploit) with a twist[英文](Symantec Security Response Weblog)
http://www.symantec.com/enterprise/security_response/weblog/2007/11/apple_quicktime_exploit_with_a.html
【脆弱性情報(英文)】
・Apple QuickTime RTSP Reply "Content-Type" Header Buffer Overflow(Secunia)
http://secunia.com/advisories/27755/
・Apple QuickTime RTSP "Content-Type" Buffer Overflow Vulnerability(FrSIRT)
http://www.frsirt.com/english/advisories/2007/3984
・Apple QuickTime RTSP Buffer Overflow(eEye Digital Security)
http://research.eeye.com/html/alerts/zeroday/20071123.html
【ウイルス情報(英文)】
・Trojan.Quimkit(Symantec)
http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-112605-2410-99
・Trojan.Quimkids(Symantec)
http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-112808-4202-99