アップルのメディアプレーヤー「QuickTime」の未修整の脆弱性情報が公開され、セキュリティベンダーや機関が注意を呼び掛けている。
この脆弱性は、QuickeTimeのActiveXコントロール「QTPlugin.ocx」のパラメータ処理の問題で、無効なパラメータ指定で任意のコードが実行されるおそれがある。VUPEN securityはこの脆弱性の危険度を4段階で最も高い「Critical」と評価。デンマークのSecuniaは、5段階中で上から2番目の「Highly critical」としている。
影響するのは、先月更新されたばかりの最新版「7.6.7」およびそれ以前のバージョン。現時点で攻撃が行われている様子はないが、サイトを閲覧するだけでウイルスに感染させる「ドライブバイダウンロード」に悪用されるおそれがあり、注意が必要だ。
各社が挙げる回避策は、問題のあるActiveXコントロール(CLSIDは{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B})にKill Bitを設定し、動作を停止させること。ただし、Kill Bitの設定はレジストリを直接操作しなければならないので、心配な方はQuickTimeを一時アンインストールしておくとよい。
(2010/09/02 ネットセキュリティニュース)
■各社のアドバイザリ(英文)
・Apple QuickTime QTPlugin.ocx Input Validation Vulnerability(Secunia)
http://secunia.com/advisories/41213/
・Apple QuickTime "QTPlugin.ocx" Trusted Parameter Value Vulnerability(VUPEN Swe)
http://www.vupen.com/english/advisories/2010/2241
・Apple QuickTime "_MARSHALED_PUNK" 0-day(Websense)
http://community.websense.com/blogs/securitylabs/archive/2010/08/31/apple-quicktime-quot-marshaled-punk-quot-0day.aspx
・ZDI-10-168: Apple QuickTime ActiveX _Marshaled_pUnk Remote Code Execution Vulnerability(Zero Day Initiative)
http://www.zerodayinitiative.com/advisories/ZDI-10-168/
・Apple QuickTime potential vulnerability/backdoor, (Mon, Aug 30th)(SANS Institute)
http://isc.sans.edu/diary.html?storyid=9472
■Internet Explorer で ActiveX コントロールの動作を停止する方法(マイクロソフト)
http://support.microsoft.com/kb/240797/ja