今月10日に公開されたばかりの「QuickTime 7.5.5」に、新たな脆弱性が見つかった。同エンジンを使用する「iTunes 8.0」にも影響する。
実証コード投稿サイトに16日付けで投稿された実証コードによると、今回見つかった問題はQuickTimeの動画配信用メタファイル(再生するコンテン ツの情報をXMLで記述したファイル)のタグに長いパラメータを指定すると、バッファオーバーフローが発生するというもの。投稿されたコード自体はクラッ シュを引き起こすだけのデモだが、脆弱性が攻略されると任意のコードを実行されるおそれがある。
QuickTimeのメタファイルに は、ムビーファイルと同じ拡張子「.mov」が使われることが多いが、QuickTimeはファイルの中身を判断して処理を行うので、QuickTime が処理がするファイルであれば拡張子は問わない。また、ウェブページを開くだけで、QuickTimeに細工したデータを処理させることもできる。
現時点では回避策は提供されておらず、信頼できないファイルを開いたり、リンクをクリックしないよう注意したい。このタイプの脆弱性に対する一般的なリスク軽減措置としては、以下のようなものが挙げられる。
・スクリプトの無効化
ブラウザ内でのQuickTimeの自動実行を抑止する
・プラグインやActiveXコントロールの無効化
ブラウザ内でQuickTimeが実行できなくなる
・拡張子ではなく内容によってファイルを開く機能の無効化
拡張子を偽装したQuickTimeファイルを開いても、ブラウザがQuickTimeを起動しなくなる
・拡張子の関連付けの無効化
ローカルディスクやネット上のQuickTimeファイルを開いても、QuickTimeが起動しなくなる
(2008/09/22 インターネット・セキュリティニュース)
■脆弱性情報(英文)
・The recent 0day exploit for Quicktime7.5.5/Itunes8.0(McAfee Avert Labs Blog)
http://www.avertlabs.com/research/blog/index.php/2008/09/18/the-true-of-recent-0day-for-quicktime755itunes80/
・Apple QuickTime/iTunes QuickTime Type Remote Buffer Overflow Vulnerability(SecurityFocus)
http://www.securityfocus.com/bid/31212
・CVE-2008-4116(NIST NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4116