先月23日に実証コードが公開された、QuickTimeのRTSP(Real Time Streaming Protocol)の脆弱性を悪用するサイトが出現した。
シマンテックは1日(現地時間、以下同)、少なくとも1つの悪用サイトが稼動中であることを確認したと発表。SANSも2日、脆弱性を悪用する攻撃サイト2件と、当該サイトに誘導するコードを埋め込んだサイト1件を公表した。誘導サイトを閲覧すると、ユーザーには見えないようにIFRAMEタグを使って攻撃サイトを開き、QuickTimeの未修正の脆弱性を含むさまざまな脆弱性を突いて、悪質なプログラムをダウンロード・実行しようとする。
現時点で仕掛けられているトロイの木馬は、多くのセキュリティ対策ソフトが対応済みのものだが、何を仕掛けるかは攻撃サイト次第なので予断は許さない。また、誘導サイトの手口であるIFRAMEは、ユーザーが普段利用している正規サイトが改ざんされて埋め込まれることも多く、攻撃の拡大が懸念される。
今のところ、アップルから修正パッチは提供されていないため、さしあたり必要のない方はQuickTimeを一時的にアンインストールしておくのが確実な回避策だ。このほかに、QuickTimeのファイルの関連付けを全て削除することにより、メディアファイルを使った攻撃が回避できる。JavaScriptの無効化により、JavaScriptによる攻撃が回避できる。ActiveXコントロールやプラグインの無効化により、埋め込みプレーヤーやJavaScriptによる攻撃が回避できる。
今回発見された攻撃サイトに関しては、RTSPの標準ポート(TCPの554番)を使用しているので、アウトバウンドポートのブロック(外部の554/TCPに接続しようとする通信の遮断)でも回避可能だが、RTSPは任意のポートを使用できるので、単純なポートブロックだけでは回避できない。
(2007/12/03 ネットセキュリティニュース)
■Exploit for Apple QuickTime Vulnerability in the Wild[英文](Symantec Security Response Weblog)
http://www.symantec.com/enterprise/security_response/weblog/2007/12/exploit_for_apple_quicktime_vu.html
■Active exploit site for Quicktime RTSP Response vulnerability[英文](SANS Institute)
http://isc.sans.org/diary.html?storyid=3713