アップルが11日に公開したMac OS Xの最新版およびセキュリティアップデートにからみ、修正されたQuickTimeの脆弱性がWindows版にも影響することがわかった。Windows用の修正版は、今のところ提供されていない。
アップルが11日に公開した更新情報によると、動画や画像の処理に関するQuickTimeの脆弱性が9件修正されている。いずれも、コード実行につながるおそれのある深刻なもので、悪用されるとシステムを乗っ取られるおそれがある。
Secuniaは同日、同社が通知しMac版で修正されたSorenson Video 3形式の動画処理に関する脆弱性が、Windows版にも影響するとしてアドバイザリを公開したが、他の脆弱性についてもMac版固有のものではなくWindows版にも影響する可能性が高い。
脆弱性の存在は、通常は修正後に公表しアップデートを呼び掛ける。修正前に脆弱性の存在が明らかになってしまうと、未修整のまま悪用されてしまう可能性が高くなるからだ。一方、事前に第三者によって脆弱性情報が公表されてしまったり、攻撃が始まってしまったりした場合は例外で、各社はセキュリティアドバイザリを出し、ゼロデイ状態に対する回避策や軽減策をとるよう注意を呼び掛ける。
今回Mac版で修正されたQuickTimeの脆弱性は、いずれも外部から通知されてるものの、公にはなっていなかった。同社は、詳細な脆弱性情報こそ公表していないが、自らWindows版を危険なゼロデイ状態にしてしまったことになる。
今のところは、これら脆弱性を悪用した攻撃の兆しはないが、解析/攻略されるおそれがあるので注意が必要だ。QuickTimeは、ブラウザのプラグイン、文書ファイルの埋め込みオブジェクト、ファイルの関連付け、プロトコルの関連付けと、さまざまな方法で呼び出すことができるので、心配な方は修正版がリリースされるまでの間、一時的にアンインストールしておくとよい。
なお、12日付けでiTuneの最新版10.1がリリースされているが、同ソフトに添付されているQuickeTimeも、未修整版の7.6.8のままなので注意していただきたい。
(2010/11/15 ネットセキュリティニュース)
■Apple QuickTime Sorenson Video 3 Array-Indexing Vulnerability[英文](Secunia)
http://secunia.com/advisories/39259/
■QuickTime Sorenson Video 3 Array-Indexing Vulnerability[英文](Secunia)
http://secunia.com/secunia_research/2010-60/
■About the security content of Mac OS X v10.6.5 and Security Update 2010-007[英文](Apple)
http://support.apple.com/kb/HT4435