ポーランドのセキュリティ研究者 Krystian Kloskowski氏が Windows版の QuickTimeに未修整の深刻な脆弱性を発見したとして、デンマークのセキュリティベンダー Secuniaは26日(現地時間)、アドバイザリを公開した。
新たに見つかった脆弱性は、QuickTime のストリーミング処理でスタックベースのバッファオーバーフローが発生するというもの。悪用されると任意のコードが実行されるおそれがあり、同社は5段階評価の上から2番目「Highly critical」の危険度と評価している。
今回の報告は、今年3月に公開された最新のWindows版「7.6.6」で確認されたものだが、他のバージョンも影響を受ける可能性がある。
発見者のKrystian Kloskowski氏は、2007年にQuickTimeのゼロデイ攻撃に発展した、RTSP(Real Time Streaming Protocol)の脆弱性(CVE-2007-6166)の脆弱性発見者としても知られる。現時点で、どの程度の脆弱性情報が公になっているのかは不明だが、QuickTimeをインストールされている方は警戒していただきたい。QuickTimeはiTunesのコンポーネントとしてもインストールされるので、iTunesユーザーもこれに該当する。
攻撃の引き金となるQuickTimeのストリーミング処理は、QuickTimeに関連付けられたメディアファイル、Webページに埋め込んだプレーヤー、JavaScriptのどこからでも呼び出せるため、ゼロデイ攻撃に発展した場合には、さまざまな手法による攻撃が予想される。
QuickTimeのファイルの関連付けを全て削除することによりメディアファイルを使った攻撃が、またJavaScriptの無効化により JavaScriptによる攻撃が、そして ActiveXコントロールやプラグインの無効化により埋め込みプレーヤーや JavaScriptによる攻撃が回避できる。しかし、さしあたって QuickTimeが必要でない方は、修正パッチが提供されるまでの間、一時的にアンインストールしておくのが簡単で確実な回避策になるだろう。
(2010/07/27 ネットセキュリティニュース)
■ QuickTime Player Streaming Debug Error Logging Buffer Overflow[英文](Secunia)
http://secunia.com/advisories/40729/
■ Apple QuickTime 'QuickTimeStreaming.qtx' Remote Stack Buffer Overflow Vulnerability[英文](SecurityFocus)
http://www.securityfocus.com/bid/41962