今月8日に修正された、QuickTimeの脆弱性を突く実証コードが、先週末に公開された。悪用されるとシステムを乗っ取られてしまうおそれがあるので、まだ「7.7.3」へ更新されていない方は早急にアップデートしていただきたい。
アップルのQuickTime 7.7.2以前のバージョンには、テキストトラックに使用するQuickTime TeXMLファイル内のスタイル要素の処理に、バッファオーバーフローを引き起こす複数の問題(CVE-2012-3752)がある。公開された実証コードは、スタイル要素のフォントテーブル属性で発生するスタックベースのバッファオーバーフローを悪用するもので、細工したQuickTime TeXMLファイルを表示すると、任意のコードが実行される。
影響を受けるのは、Windows版のQuickTime 7.7.2およびそれ以前のバージョン。この脆弱性は、先ごろ公開された7.7.3で修正済みなので、未更新の方は、早急にアップデートしていただきたい。
最新版への更新は、QuickTimeとセットでインストールされている「Apple Software Update」で自動インストールできるほか、同社のサイトからも入手できる。
QuickTimeは、iTunes Storeでのコンテンツの購入やiPodなどへの転送などの際に使用する、「iTunes」のコンポーネントとして同梱されていたため、iTunesと一緒にインストールしている方も多い。昨年10月リリースの「iTunes 10.5」以降は、iTunesの利用にQuickTimeは不要となり、現在は同梱されていない。iTunesのためだけにQuickTimeをインストールしていた方は、iTunesを最新版(10.7)に更新し、不要なQuickTimeをアンインストールするのもいいだろう。
(2012/11/28 ネットセキュリティニュース)
【関連URL】
・Apple QuickTimeのTeXMLファイルの処理の不備により任意のコードが実行される脆弱性 (CVE-2012-3752)に関する検証レポート(NTTデータ先端技術)
http://security.intellilink.co.jp/article/vulner/121127.html
・QuickTime 7.7.3 のセキュリティコンテンツについて(アップル)
http://support.apple.com/kb/HT5581?viewlocale=ja_JP
・QuickTime - ダウンロード(アップル)
http://www.apple.com/jp/quicktime/download/