最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆IPAが2007年の届出状況発表~ウイルス、不正アクセスとも届出は大幅減少(2008/01/10) | メイン | ◆ネットで中学校爆破予告、男子高校生を逮捕~相次ぐ「ネットで脅迫」事件(2008/01/15) »

2008/01/15

◆「QuickTime」にまた深刻な脆弱性~コード実行のおそれ(2008/01/15)

 QuickTimeに新たな未修正の脆弱性が見つかった。悪用されると任意のコードを実行されるおそれがあり、すでに実証コードも公開されているため、セキュリティ関連機関やベンダーが注意を呼びかけている。脆弱性の影響を受けるのは、Windows版/Mac版QuickTimeの7.3.1以前。QuickTimeはiTunesのコンポーネントとしてもインストールされるので、iTunesユーザーも注意が必要だ。

 米国時間10日に出されたUS-CERTの報告や、11日付のJVNによると、QuickTimeのRTSP(Real Time Streaming Protocol)には問題があり、細工された応答メッセージによってバッファオーバーフローが発生してしまう。この脆弱性が悪用されると、リモートから任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けるおそれがある。すでに実証コードが公開されているため、危険な状況だ。この脆弱性について、フランスのFrSIRTは4段階中最高の「Critical」、デンマークのSecuniaは5段階の上から2番目である「Highly Critical」と評価している。

 RTSPは、ブラウザ上からも、QuickTimeに関連付けられたメディアファイルからも呼び出すことができるため、信頼できないサイトやメディアファイルを開くと攻撃される可能性がある。現時点では、パッチは公開されていない。JVNでは、回避策としてQuicktimeのアンインストールなどいくつかの方法が挙げられているが、編集部で確認した結果、「アクセス制限をする」とされている方法では、この脆弱性を回避することができない(※1)。他に高いスキルが要求される回避策は存在するが、一般ユーザーが実施できる確実な策は、Quicktimeをアンインストールすることしかないだろう(※2)。

 QuickTimeについては、昨年11月にも今回と同じくRTSPに脆弱性が見つかっており、この脆弱性を修正した「7.3.1」を12月に公開したばかりだ。

【技術解説】
※1)アクセス制限で回避できない理由
 RTSPは任意のポート番号を使用できるため、単純なポートブロックではRTSPそのものを遮断することができない。編集部がWindows版のQuickTimeでテストしたところ、RTSPでの接続に失敗したQuickTimeはHTTPで再試行し、その応答ヘッダでもバッファオーバーフローが発生することを確認している。したがってプロトコルベースでブロックする場合には、RTSPとその後に続くHTTPの両方を遮断しないと有効な回避策とならない。

※2)アンインストール以外の回避策
 以下の全て実施すると、サイトを閲覧するだけで攻撃される最悪のケースが回避でき、アンインストール相当の効果が期待できる。
・ActiveXコントロール、プラグインの無効化(EMBEDやOBJECTによる埋め込みプレーヤー、およびJavaScriptによる攻撃回避)
・JavaScriptの無効化(JavaScriptによる攻撃回避)
・メディアファイルの関連付けの解除(メディアファイル内からの攻撃回避)
・RTSPプロトコルハンドラの解除(RTSPリンクによる攻撃回避)

(2008/01/15 ネットセキュリティニュース)

■Apple QuickTime RTSP の Response message に含まれる Reason-Phrase 処理にバッファオーバーフローの脆弱性(JVN)
http://jvn.jp/cert/JVNVU%23112179/
■QuickTime Real Time Streaming Protocol Vulnerability(US-CERT Current Activity)
http://www.us-cert.gov/current/index.html#quicktime_real_time_streaming_protoco
■Apple QuickTime RTSP Response "Reason-Phrase" Buffer Overflow(FrSIRT)
http://www.frsirt.com/english/advisories/2008/0107
■[4/5] Apple QuickTime RTSP Reply Reason-Phrase Buffer Overflow(Secunia)
http://secunia.com/advisories/28423/

【関連記事:ネットセキュリティニュース】
・アップル、ゼロデイ攻撃に対処した「QuickTime 7.3.1」公開(2007/12/17)
・【ゼロデイ攻撃】QuickTimeの脆弱性を悪用するサイト出現(2007/12/03)
・「QuickTime」未修正の脆弱性、ますます危険な状況に(2007/11/29)
・「QuickTime」に深刻な脆弱性~コード実行のおそれ(2007/11/26)

投稿情報: 10:31 |

|